OpenAI Codex Security quét 1,2 triệu commit và phát hiện 10.561 vấn đề nghiêm trọng
Ravie Lakshmanan – 7 tháng 3, 2026 – DevSecOps / Trí tuệ nhân tạo
Vào thứ Sáu, OpenAI bắt đầu triển khai Codex Security, một đại lý bảo mật được hỗ trợ bởi trí tuệ nhân tạo (AI) nhằm tìm kiếm, xác thực và đề xuất các bản vá cho các lỗ hổng.
Tính năng này có sẵn trong bản xem trước nghiên cứu cho các khách hàng ChatGPT Pro, Enterprise, Business và Edu thông qua Codex web, với việc sử dụng miễn phí trong tháng tới.
"Nó xây dựng ngữ cảnh sâu rộng về dự án của bạn để xác định các lỗ hổng phức tạp mà các công cụ đại lý khác bỏ qua, đưa ra các phát hiện có độ tin cậy cao hơn kèm theo các bản vá giúp cải thiện đáng kể bảo mật hệ thống trong khi giảm thiểu tiếng ồn của các lỗi không quan trọng," công ty nói.
Codex Security là sự phát triển của Aardvark, mà OpenAI công bố trong giai đoạn beta riêng vào tháng 10/2025 như một cách để các nhà phát triển và đội ngũ bảo mật phát hiện và sửa chữa lỗ hổng bảo mật ở quy mô lớn.
Trong 30 ngày qua, Codex Security đã quét hơn 1,2 triệu commit từ các kho lưu trữ bên ngoài trong giai đoạn beta, xác định 792 phát hiện mức độ nguy hiểm critical và 10.561 phát hiện mức độ nghiêm trọng cao. Các lỗ hổng này xuất hiện trong nhiều dự án mã nguồn mở như OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP và Chromium, cùng nhiều dự án khác. Một số ví dụ như sau:
- GnuPG – CVE-2026-24881, CVE-2026-24882
- GnuTLS – CVE-2025-32988, CVE-2025-32989
- GOGS – CVE-2025-64175, CVE-2026-25242
- Thorium – CVE-2025-35430, CVE-2025-35431, CVE-2025-35432, CVE-2025-35433, CVE-2025-35434, CVE-2025-35435, CVE-2025-35436
Theo công ty AI này, phiên bản mới nhất của đại lý bảo mật ứng dụng tận dụng khả năng suy luận của các mô hình tiên tiến và kết hợp chúng với việc xác thực tự động để giảm thiểu rủi ro báo cáo dương tính giả và cung cấp các bản vá có thể thực hiện được.
Những lần quét của OpenAI trên cùng các kho lưu trữ theo thời gian đã cho thấy độ chính xác ngày càng tăng và tỷ lệ dương tính giả giảm, với mức giảm hơn 50 % trên tất cả các kho lưu trữ.
Trong một tuyên bố được chia sẻ với The Hacker News, OpenAI cho biết Codex Security được thiết kế để cải thiện tỉ lệ tín hiệu‑nới‑tiếng ồn bằng cách dựa trên ngữ cảnh hệ thống khi khám phá lỗ hổng và xác thực các phát hiện trước khi đưa ra cho người dùng.
Quy trình hoạt động của Codex Security
Đại lý hoạt động qua ba bước:
Bước 1: Phân tích kho lưu trữ để nắm bắt cấu trúc bảo mật của dự án và tạo một mô hình mối đe dọa có thể chỉnh sửa, mô tả những gì hệ thống thực hiện và các điểm yếu nhất.
Bước 2: Khi ngữ cảnh hệ thống đã được xây dựng, Codex Security sử dụng nó làm nền tảng để xác định các lỗ hổng và phân loại các phát hiện dựa trên tác động thực tế. Các vấn đề được gắn cờ sẽ được kiểm tra trong môi trường sandbox để xác thực.
"Khi Codex Security được cấu hình với môi trường phù hợp với dự án của bạn, nó có thể xác thực các vấn đề tiềm năng trực tiếp trong ngữ cảnh của hệ thống đang chạy," OpenAI nói. "Việc xác thực sâu hơn này có thể giảm dương tính giả hơn nữa và cho phép tạo ra các bằng chứng khái niệm hoạt động, cung cấp cho đội ngũ bảo mật bằng chứng mạnh mẽ hơn và con đường rõ ràng hơn tới việc khắc phục."
Bước 3: Đại lý đề xuất các bản vá phù hợp nhất với hành vi của hệ thống, nhằm giảm thiểu khả năng hồi quy và làm cho quá trình xem xét và triển khai dễ dàng hơn.
Tin tức về Codex Security xuất hiện chỉ vài tuần sau khi Anthropic ra mắt Claude Code Security để giúp người dùng quét cơ sở mã phần mềm nhằm phát hiện lỗ hổng và đề xuất các bản vá.
Theo dõi chúng tôi trên Google News, Twitter và LinkedIn để đọc thêm các nội dung độc quyền.
Nguồn: https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html
0 comments Blogger 0 Facebook
Đăng nhận xét