OpenAI ha presentado Codex Security, un nuevo agente de seguridad para aplicaciones diseñado para ayudar a los equipos de desarrollo a identificar vulnerabilidades en el código y proponer correcciones automatizadas. La herramienta se integra en el entorno de Codex y está disponible inicialmente en fase de research preview para clientes de ChatGPT Pro, Enterprise, Business y Edu.
El lanzamiento se produce en un momento en el que el uso de agentes de inteligencia artificial está acelerando el desarrollo de software, lo que está obligando a replantear cómo se realizan las revisiones de seguridad del código.
Según explica OpenAI, uno de los problemas habituales de las herramientas de análisis de vulnerabilidades es el elevado volumen de falsos positivos que generan, lo que obliga a los equipos de seguridad a dedicar tiempo a revisar alertas de bajo impacto.
“Construye un contexto profundo sobre el proyecto para identificar vulnerabilidades complejas que otras herramientas pasan por alto, mostrando hallazgos de mayor confianza junto con correcciones que mejoran la seguridad del sistema”, señala la compañía.
La herramienta analiza el repositorio para entender la arquitectura del sistema y genera un modelo de amenazas específico del proyecto, que describe cómo funciona la aplicación, qué componentes son críticos y dónde pueden existir puntos de exposición. Ese modelo puede ajustarse manualmente para adaptarlo a cada entorno.
A partir de ese contexto, el agente identifica vulnerabilidades, las clasifica según su impacto y valida los hallazgos en entornos de prueba aislados. También propone parches y explicaciones en lenguaje natural que los desarrolladores pueden revisar antes de aplicarlos.
Mejora de precisión y reducción de falsos positivos
Codex Security procede de un proyecto interno de OpenAI denominado Aardvark, que comenzó como beta privada el año pasado. Durante ese periodo la compañía ha trabajado en mejorar la calidad de los resultados.
Las pruebas realizadas sobre los mismos repositorios muestran mejoras progresivas en la precisión del análisis. Según OpenAI, el sistema ha reducido más de un 50 % los falsos positivos y ha disminuido en más de un 90 % los casos en los que la severidad de una vulnerabilidad estaba sobredimensionada.
Durante la fase beta, Codex Security analizó más de 1,2 millones de commits en repositorios externos, identificando 792 vulnerabilidades críticas y más de 10.500 de alta severidad. Algunas de ellas afectaban a proyectos de software ampliamente utilizados como OpenSSH, GnuTLS, libssh, PHP o Chromium.
En total, el trabajo de análisis permitió reportar 14 vulnerabilidades registradas como CVE, lo que pone de relieve el potencial de este tipo de herramientas para detectar fallos en componentes de uso generalizado.
OpenAI también ha anunciado un programa para que mantenedores de proyectos open source puedan utilizar la herramienta sin coste. El objetivo es facilitar la identificación de vulnerabilidades relevantes sin generar grandes volúmenes de alertas difíciles de revisar.
