OpenAI ha annunciato la disponibilità in anteprima sperimentale di Codex Security, un agente di intelligenza artificiale dedicato alla sicurezza delle applicazioni. Lo strumento è progettato per analizzare in profondità il contesto di un progetto software e individuare vulnerabilità complesse che spesso sfuggono ai tradizionali strumenti di sicurezza automatizzati.
A differenza di molte soluzioni basate su AI, che producono numerosi falsi positivi o segnalazioni poco rilevanti, Codex Security punta a fornire risultati ad alta affidabilità accompagnati da correzioni pratiche. L’obiettivo è migliorare concretamente la sicurezza dei sistemi e ridurre il tempo che i team dedicano al triage dei bug.
Indice degli argomenti:
Il problema del “rumore” nella sicurezza software
Secondo OpenAI, uno dei principali limiti degli strumenti di sicurezza basati su intelligenza artificiale è la difficoltà di valutare il rischio reale delle vulnerabilità segnalate. Senza un contesto adeguato, molti sistemi generano grandi quantità di risultati a basso impatto, costringendo gli specialisti della sicurezza a lunghe attività di verifica.
Nel frattempo, l’uso crescente di agenti AI nello sviluppo software sta accelerando la produzione di codice, trasformando la revisione della sicurezza in un potenziale collo di bottiglia. Codex Security nasce proprio per affrontare queste due sfide: migliorare la precisione delle analisi e accelerare il processo di correzione.
Dalla beta privata alla disponibilità per i clienti
In precedenza noto con il nome Aardvark, il sistema è stato lanciato lo scorso anno in beta privata con un numero limitato di clienti. Durante le prime implementazioni interne, l’agente ha individuato diverse vulnerabilità reali, tra cui un SSRF e un problema critico di autenticazione cross-tenant, risolti dal team di sicurezza nel giro di poche ore.
La fase beta ha inoltre permesso di migliorare significativamente la qualità dei risultati. In alcuni repository, il “rumore” delle segnalazioni è stato ridotto dell’84% rispetto al lancio iniziale. Allo stesso tempo, il tasso di vulnerabilità con gravità sovrastimata è diminuito di oltre il 90% e i falsi positivi si sono ridotti di più del 50%.
Questi miglioramenti hanno consentito di allineare meglio le segnalazioni al rischio reale, alleggerendo il carico di lavoro dei team di sicurezza.
Come funziona Codex Security
Codex Security sfrutta i modelli avanzati di AI di OpenAI e l’agente Codex per collegare tra loro scoperta delle vulnerabilità, convalida e applicazione delle patch.
Creazione del contesto e modello di minaccia
Dopo la configurazione di una scansione, l’agente analizza il repository del progetto per comprendere la struttura del sistema e generare un modello di minaccia specifico. Questo modello descrive il funzionamento dell’applicazione, i componenti di cui si fida e le aree più esposte ai rischi. Il documento può essere modificato dagli sviluppatori per mantenere l’analisi allineata con l’architettura reale.
Individuazione e convalida delle vulnerabilità
Utilizzando il modello di minaccia come riferimento, Codex Security ricerca vulnerabilità e ne valuta la priorità in base all’impatto sul sistema. Quando possibile, mette alla prova i risultati in ambienti isolati (sandbox) per distinguere tra problemi reali e segnalazioni irrilevanti. Con configurazioni avanzate, può validare le vulnerabilità direttamente nel contesto del sistema in esecuzione.
Correzione guidata dei problemi
Una volta individuata la vulnerabilità, l’agente propone patch coerenti con il comportamento del sistema. Questo approccio riduce il rischio di regressioni e rende le correzioni più semplici da revisionare e integrare nel codice.
Nel tempo, inoltre, il sistema apprende dal feedback degli utenti. Quando un team modifica la criticità di una segnalazione, l’agente utilizza queste informazioni per migliorare le analisi successive.
Analisi su larga scala
Codex Security è progettato per operare su grandi volumi di codice. Negli ultimi trenta giorni ha analizzato oltre 1,2 milioni di commit in repository esterni appartenenti alla coorte beta.
Durante queste analisi sono stati individuati 792 risultati critici e 10.561 vulnerabilità ad alta gravità. I problemi più critici sono comparsi in meno dello 0,1% dei commit analizzati, dimostrando la capacità del sistema di identificare le vulnerabilità rilevanti riducendo al minimo il rumore nelle revisioni.
Il contributo alla sicurezza dell’open source
OpenAI ha utilizzato Codex Security anche per analizzare numerosi repository open source da cui dipendono molti sistemi moderni. I risultati più importanti sono stati condivisi direttamente con i maintainer dei progetti.
Durante queste collaborazioni è emerso un problema ricorrente: gli sviluppatori open source ricevono spesso troppe segnalazioni di vulnerabilità, molte delle quali di scarsa qualità. Codex Security è stato quindi progettato per privilegiare poche segnalazioni ad alta affidabilità, facilitando interventi rapidi senza aumentare il carico di lavoro.
Nel corso delle analisi sono state segnalate vulnerabilità critiche in diversi progetti ampiamente utilizzati, tra cui OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP e Chromium. In totale sono state assegnate quattordici CVE.
Il programma Codex for OSS
Per rafforzare il supporto alla comunità open source, OpenAI ha avviato il programma Codex for OSS, che offre ai maintainer account gratuiti ChatGPT Pro e Plus, strumenti di revisione del codice e accesso a Codex Security.
Alcuni progetti, come vLLM, hanno già iniziato a utilizzare l’agente all’interno dei loro normali flussi di lavoro per individuare e correggere vulnerabilità.
OpenAI prevede di espandere il programma nelle prossime settimane per consentire a un numero maggiore di sviluppatori di accedere agli strumenti di sicurezza.
Disponibilità e accesso
Codex Security sarà distribuito ai clienti ChatGPT Enterprise, Business ed Edu tramite la piattaforma Codex web. L’utilizzo sarà gratuito per il primo mese.
L’azienda ha annunciato che l’accesso verrà esteso progressivamente nei prossimi giorni e invita i team interessati a consultare la documentazione ufficiale per configurare il sistema all’interno dei propri progetti.
