OpenAI上线CodexSecurity，帮助开发者修补软件漏洞

OpenAI集团PBC今日宣布推出Codex Security，这是一款集成于其Codex编程助手中的新工具，目的是协助开发者找出并修复代码里的漏洞。

此次发布是在Anthropic PBC推出一款竞争产品两周后进行的。Claude Code Security能够对应用程序的代码库展开分析，找出其中的漏洞并给出修复建议。Codex Security的运作模式与之相近。开发者可以通过授权OpenAI的这款新工具访问他们想要扫描的代码库来启用它。据ChatGPT的开发者介绍，Codex Security会在一个隔离容器中生成代码库的临时副本，随后对代码文件进行分析，这一过程可能需要数天时间。

Codex Security的分析会产出一份被OpenAI命名为威胁模型的文档。该文档以详尽的自然语言形式，阐述了程序的运作机制以及潜在的安全漏洞。应用程序的威胁模型涵盖了界面元素的相关信息，而这些元素可供终端用户上传数据。此类模块在网络攻击面前尤其脆弱。

开发者可根据需要自定义威胁模型。比如，若用户想补充某个格外敏感的应用程序组件的更多细节，Codex Security应将其列为优先考量对象。此工具会借助威胁模型来引导漏洞扫描工作。

模型会在沙箱环境中对检测到的缺陷进行测试，以此判断这些缺陷是否存在被黑客利用的可能性。在剔除误报之后，该工具会依据漏洞的严重程度对其进行排序。为了进一步提升安全性，它会留存那些未通过沙箱测试的缺陷记录。开发者能够借助这些记录，去查找那些可能被错误标记为误报的漏洞。

Codex Security会针对其发现的每一个漏洞生成对应的修复建议，这些建议包含解决该问题所需的代码以及用自然语言撰写的解释说明。开发者在对建议中的代码进行审核之后，只需点击相应按钮，就能把修复内容推送至生产环境。

这个新模型最初是OpenAI内部用于分析自身代码文件的工具，名为Aardvark。去年，公司推出了一项测试计划，让有限数量的客户能够使用该工具。OpenAI称，此测试计划助力其将Code Security的误报率降低了超50%。

这款工具助力早期用户识别出超11,000个关键及高严重性漏洞。不仅如此，OpenAI还借助它对部分支撑自身工作负载的热门开源工具展开扫描，结果发现了14个严重程度足以录入CVE数据库的漏洞。

Codex Security以研究预览版的形式，在ChatGPT的企业、商业及教育层级中提供。与此同时，OpenAI还推出了一项计划，让开源项目的维护者能够免费使用这一工具。