OpenAI ra mắt Codex Security vào ngày 6 tháng 3, giới thiệu một ứng dụng an ninh trí tuệ nhân tạo (AI) giúp quét các kho lưu trữ Github để phát hiện lỗ hổng, chỉ vài tuần sau khi Anthropic ra mắt công cụ Claude Code Security đối thủ cạnh tranh—biến phòng thủ mã dựa trên AI thành chiến trường cạnh tranh mới nhất của ngành công nghệ.
OpenAI Ra Mắt Codex Security để Thách Thức Claude Code Security của Anthropic
Việc ra mắt diễn ra trong bối cảnh ngày càng có nhiều sự quan tâm đến các công cụ AI có thể quét qua các dự án phần mềm lớn nhanh hơn bất kỳ đội ngũ an ninh nào có thể làm được. Codex Security được thiết kế để phân tích các kho lưu trữ, xác định lỗ hổng, xác thực chúng trong môi trường kiểm thử cô lập, và đề xuất các sửa chữa để các nhà phát triển có thể xem xét trước khi áp dụng. Hệ thống xây dựng ngữ cảnh theo từng cam kết, cho phép AI hiểu cách mã phát triển thay vì chỉ đơn thuần cảnh báo các đoạn mã riêng lẻ.
OpenAI viết:
“Chúng tôi giới thiệu Codex Security. Một agent an ninh ứng dụng giúp bạn bảo vệ mã nguồn của mình bằng cách tìm ra các lỗ hổng, xác thực chúng, và đề xuất các sửa chữa để bạn có thể xem xét và vá lỗi. Giờ đây, các nhóm có thể tập trung vào những lỗ hổng quan trọng và phát hành mã nhanh hơn.”
OpenAI cho biết công cụ này dựa trên hệ sinh thái Codex của mình, một trợ lý kỹ thuật AI dựa trên đám mây được giới thiệu vào tháng 5 năm 2025, giúp các nhà phát triển viết mã, sửa lỗi và đề xuất các yêu cầu kéo. Tính đến tháng 3 năm 2026, việc sử dụng Codex đã tăng lên khoảng 1,6 triệu người dùng hàng tuần, theo công ty. Codex Security mở rộng các khả năng đó vào lĩnh vực an ninh ứng dụng, một phân khúc ngành ước tính tạo ra khoảng 20 tỷ USD mỗi năm.
Thông báo của OpenAI đi kèm với việc họ cũng ra mắt GPT-5.3 Instant và GPT-5.4. Động thái này cũng theo sau sự ra mắt của Claude Code Security của Anthropic vào ngày 20 tháng 2, công cụ quét toàn bộ mã nguồn và đề xuất các bản vá cho các lỗ hổng được phát hiện. Được xây dựng dựa trên mô hình Claude Opus 4.6, công cụ này cố gắng suy luận về phần mềm như một nhà nghiên cứu an ninh con người—phân tích logic kinh doanh, luồng dữ liệu và tương tác hệ thống thay vì chỉ dựa vào các quy tắc quét tĩnh.
Anthropic cho biết Claude Code Security đã xác định hơn 500 lỗ hổng trong các dự án phần mềm mã nguồn mở, bao gồm cả những vấn đề đã bị bỏ qua trong nhiều năm. Công ty hiện đang cung cấp tính năng này trong chế độ xem trước nghiên cứu cho khách hàng doanh nghiệp và nhóm, trong khi các nhà duy trì mã nguồn mở có thể yêu cầu truy cập nhanh miễn phí.
Cả hai công ty đều đặt cược rằng các hệ thống AI có khả năng suy luận về ngữ cảnh mã sẽ vượt trội hơn các trình quét lỗ hổng truyền thống, vốn thường tạo ra nhiều kết quả dương tính giả. Để giải quyết vấn đề đó, Claude Code Security sử dụng hệ thống xác minh nhiều giai đoạn để kiểm tra lại các phát hiện và gán điểm mức độ nghiêm trọng cùng độ tin cậy.
Codex Security có cách tiếp cận hơi khác. Thay vì dựa hoàn toàn vào suy luận của mô hình, agent xác thực các lỗ hổng nghi ngờ trong các môi trường sandbox trước khi hiển thị kết quả. OpenAI cho biết quá trình này giảm nhiễu và cho phép AI xếp hạng các phát hiện dựa trên bằng chứng thu thập được trong quá trình kiểm thử.
“Codex Security bắt đầu với tên Aardvark, ra mắt năm ngoái trong giai đoạn thử nghiệm riêng tư,” OpenAI viết trên X. Công ty bổ sung:
“Kể từ đó, chúng tôi đã cải thiện đáng kể chất lượng tín hiệu, giảm nhiễu, nâng cao độ chính xác của mức độ nghiêm trọng và giảm các kết quả dương tính giả, giúp các phát hiện phù hợp hơn với rủi ro thực tế.”
Các nhà phát triển xem xét kết quả của Codex Security có thể kiểm tra dữ liệu hỗ trợ, xem các khác biệt mã cho các bản vá đề xuất, và tích hợp các sửa chữa qua các quy trình làm việc của Github. Hệ thống cũng cho phép các nhóm tùy chỉnh mô hình đe dọa bằng cách điều chỉnh các tham số như bề mặt tấn công, phạm vi kho lưu trữ và mức độ chấp nhận rủi ro.
Trong khi sự ra mắt của Anthropic gây xáo trộn một số phần của ngành an ninh mạng, sự xuất hiện của OpenAI cho đến nay tạo ra nhiều sự chú ý hơn là hoảng loạn thị trường. Khi Claude Code Security ra mắt vào tháng 2, một số cổ phiếu an ninh mạng đã giảm từ 5% đến 10%, bao gồm các công ty như Crowdstrike và Palo Alto Networks, trước khi phục hồi phần lớn trong các phiên giao dịch sau đó.
Lúc đó, các nhà phân tích cho rằng đợt bán tháo này phản ánh sự lo lắng về việc liệu các công cụ AI có thể thay thế một phần của thị trường an ninh ứng dụng hay không. Tuy nhiên, nhiều nhà nghiên cứu cho rằng các công cụ AI có khả năng bổ sung các nền tảng an ninh hiện có nhiều hơn là thay thế hoàn toàn chúng.
Việc phát triển các công cụ phát hiện lỗ hổng dựa trên AI đã tiến bộ nhanh chóng trong hai năm qua, với các mô hình ngôn ngữ lớn (LLMs) ngày càng tham gia vào các nhiệm vụ nghiên cứu an ninh mạng như các cuộc thi Capture-the-Flag và phát hiện lỗ hổng tự động. Những khả năng này có thể giúp các nhà phòng thủ phát hiện điểm yếu của phần mềm nhanh hơn—nhưng cũng làm dấy lên lo ngại rằng các hacker có thể khai thác các hệ thống tương tự.
Để đối phó với các rủi ro đó, OpenAI đã phát động sáng kiến “Trusted Access for Cyber” vào ngày 5 tháng 2, cung cấp cho các nhà nghiên cứu an ninh đã được xác minh quyền truy cập kiểm soát vào các mô hình tiên tiến để nghiên cứu phòng thủ. Anthropic đã thực hiện một cách tiếp cận tương tự thông qua các hợp tác với các tổ chức như Pacific Northwest National Laboratory và các chương trình đội đỏ nội bộ.
Sự xuất hiện của các agent an ninh AI đánh dấu một bước chuyển hướng sang điều mà nhiều nhà nghiên cứu gọi là “an ninh mạng có tính đại diện,” nơi các hệ thống tự động liên tục phân tích, kiểm tra và khắc phục các lỗ hổng phần mềm. Nếu thành công, các công cụ này có thể rút ngắn thời gian từ phát hiện lỗ hổng đến triển khai bản vá—một trong những điểm yếu lớn nhất của an ninh phần mềm hiện đại.
Đối với các nhà phát triển và nhóm an ninh, thời điểm này thật khó bỏ qua. AI không còn chỉ viết mã nữa—nó còn kiểm tra, phá vỡ và sửa chữa mã, thường trong cùng một quy trình làm việc.
Và khi OpenAI và Anthropic hiện đang cạnh tranh trực tiếp, làn sóng công cụ an ninh mạng tiếp theo có thể không đến từ các trình quét truyền thống mà là các agent AI không bao giờ ngủ, không phàn nàn và lý tưởng nhất là phát hiện lỗi trước hacker.
FAQ 🤖
- OpenAI’s Codex Security là gì? Codex Security là một agent an ninh ứng dụng dựa trên AI quét các kho lưu trữ GitHub, xác thực lỗ hổng và đề xuất sửa mã.
- Codex Security khác gì so với các trình quét lỗ hổng truyền thống? Hệ thống sử dụng lý luận AI và xác thực sandbox để phân tích ngữ cảnh mã và giảm thiểu kết quả dương tính giả.
- Claude Code Security của Anthropic là gì? Claude Code Security là một công cụ AI cạnh tranh quét mã nguồn để phát hiện lỗ hổng và đề xuất các bản vá dựa trên mô hình Claude của Anthropic.
- Tại sao các công ty AI lại xây dựng các agent an ninh mạng? Các agent AI có thể phát hiện và sửa lỗi phần mềm nhanh hơn các công cụ truyền thống, giúp các nhà phát triển tăng cường bảo mật mã nguồn một cách quy mô.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
