Безпека Codex від OpenAI дебютує у гонці штучного інтелекту у сфері кібербезпеки з Anthropic, яка розігрівається

OpenAI запустила Codex Security 6 березня, представив агент з безпеки додатків на базі штучного інтелекту (ШІ), який сканує репозиторії Github на вразливості, всього за кілька тижнів після запуску конкурента Claude Code Security від Anthropic — перетворюючи захист коду на базі ШІ на новий конкурентний полігон у технологічній індустрії.

OpenAI запускає Codex Security для конкуренції з Claude Code Security від Anthropic

Випуск відбувся на тлі зростаючого інтересу до інструментів ШІ, які можуть швидше аналізувати великі програмні проєкти, ніж будь-які людські команди безпеки. Codex Security створений для аналізу репозиторіїв, виявлення вразливостей, їх перевірки у ізольованих тестових середовищах та пропонування виправлень, які розробники можуть переглянути перед застосуванням. Система формує контекст по кроках, дозволяючи ШІ розуміти, як змінюється код, а не просто позначати ізольовані фрагменти.

OpenAI заявила:

«Ми представляємо Codex Security — агент з безпеки додатків, який допомагає захистити ваш код, знаходячи вразливості, перевіряючи їх і пропонуючи виправлення для перегляду та виправлення. Тепер команди можуть зосередитися на важливих вразливостях і швидше випускати код.»

OpenAI зазначила, що інструмент базується на екосистемі Codex, хмарному помічнику з ШІ для інженерії, запущеному у травні 2025 року, який допомагає розробникам писати код, виправляти помилки та пропонувати пул-запити. До березня 2026 року використання Codex зросло до приблизно 1,6 мільйонів користувачів щотижня, за даними компанії. Codex Security розширює ці можливості у сферу безпеки додатків, яка оцінюється у близько 20 мільярдів доларів щорічно.

Оголошення OpenAI з’являється одночасно з випуском GPT-5.3 Instant і GPT-5.4. Це також слідує за дебютом Claude Code Security від Anthropic 20 лютого, який сканує цілі кодові бази та пропонує патчі для виявлених вразливостей. Інструмент, побудований на моделі Claude Opus 4.6, намагається аналізувати програмне забезпечення так само, як і людський дослідник безпеки — аналізуючи бізнес-логіку, потоки даних і взаємодії систем, а не покладаючись лише на статичні правила сканування.

Anthropic заявила, що Claude Code Security вже виявила понад 500 вразливостей у відкритих проєктах програмного забезпечення, включаючи проблеми, які залишалися непоміченими роками. Компанія наразі пропонує цю функцію у дослідному режимі для корпоративних та командних клієнтів, тоді як розробники відкритого коду можуть безкоштовно запитати прискорений доступ.

Обидві компанії роблять ставку на те, що системи ШІ, здатні аналізувати контекст коду, перевищать можливості традиційних сканерів вразливостей, які часто генерують багато хибних спрацьовувань. Щоб вирішити цю проблему, Claude Code Security використовує багатоступеневу систему перевірки, яка повторно перевіряє результати та присвоює рівень серйозності і рівень довіри.

Codex Security застосовує трохи інший підхід. Замість того, щоб покладатися лише на висновки моделі, агент перевіряє підозрілі вразливості у ізольованих середовищах перед виведенням результатів. OpenAI заявила, що цей процес зменшує шум і дозволяє ШІ ранжувати результати на основі зібраних під час тестування доказів.

«Codex Security починався як Aardvark, запущений минулого року у приватній бета-версії,» — написала OpenAI у X. Компанія додала:

«З того часу ми значно покращили якість сигналу, зменшили шум, підвищили точність визначення серйозності та знизили кількість хибних спрацьовувань, щоб результати краще відповідали реальним ризикам.»

Розробники, які переглядають результати Codex Security, можуть ознайомитися з додатковими даними, переглянути різниці у коді для запропонованих патчів і інтегрувати виправлення через робочі процеси Github. Система також дозволяє командам налаштовувати моделі загроз, регулюючи параметри, такі як поверхня атаки, обсяг репозиторію та рівень ризику.

Хоча запуск Anthropic потряс частини сектору кібербезпеки, участь OpenAI поки що викликає більше шуму, ніж паніки на ринку. Коли Claude Code Security з’явився у лютому, кілька акцій у галузі кібербезпеки короткочасно знизилися на 5–10%, зокрема компанії Crowdstrike і Palo Alto Networks, але згодом значною мірою відновилися у наступних торгових сесіях.

Тоді аналітики вважали, що цей розпродаж відображає тривогу щодо того, чи зможуть інструменти ШІ замінити частину ринку безпеки додатків. Багато дослідників, однак, стверджують, що інструменти ШІ швидше доповнюють існуючі платформи безпеки, ніж повністю їх замінюють.

Розвиток виявлення вразливостей за допомогою ШІ стрімко прогресує за останні два роки, і великі мовні моделі (LLMs) дедалі більше залучаються до досліджень у галузі кібербезпеки, таких як змагання Capture-the-Flag і автоматичне виявлення вразливостей. Ці можливості допомагають захисникам швидше виявляти слабкі місця у програмному забезпеченні, але також викликають побоювання, що зловмисники можуть потенційно використовувати подібні системи.

Щоб зменшити ці ризики, OpenAI 5 лютого запустила ініціативу «Trusted Access for Cyber», яка надає перевіреним дослідникам безпеки контрольований доступ до передових моделей для захисних досліджень. Anthropic застосувала подібний підхід через партнерства з установами, такими як Pacific Northwest National Laboratory, та внутрішні програми червоних команд.

З’явлення агентів з безпеки на базі ШІ ознаменовує перехід до того, що багато дослідників називають «агентною кібербезпекою», де автономні системи постійно аналізують, тестують і усувають вразливості у програмному забезпеченні. Якщо цей підхід виявиться успішним, такі інструменти можуть скоротити час від виявлення вразливості до її виправлення — один із найбільших недоліків сучасної безпеки програмного забезпечення.

Для розробників і команд безпеки час є важливим фактором. ШІ вже не просто пише код — він тепер його аудитує, зломує і виправляє, часто у тому ж робочому процесі.

І з відкриттям конкуренції між OpenAI і Anthropic, наступна хвиля інструментів кібербезпеки може з’явитися не у вигляді традиційних сканерів, а у вигляді агентів ШІ, які ніколи не сплять, ніколи не скаржаться і, ідеально, виявляють помилки ще до того, як їх знайдуть хакери.

FAQ 🤖

• Що таке Codex Security від OpenAI? Codex Security — це агент з безпеки додатків на базі ШІ, який сканує репозиторії GitHub, перевіряє вразливості та пропонує виправлення коду.
• Чим відрізняється Codex Security від традиційних сканерів вразливостей? Система використовує логіку ШІ та перевірку у ізольованих середовищах для аналізу контексту коду і зменшення кількості хибних спрацьовувань.
• Що таке Claude Code Security від Anthropic? Claude Code Security — це конкурсний інструмент ШІ, який сканує кодові бази на вразливості та пропонує патчі, використовуючи модель Claude від Anthropic.
• Чому компанії ШІ створюють агенти для кібербезпеки? Агенти ШІ можуть швидше виявляти і виправляти вразливості у програмному забезпеченні, допомагаючи розробникам зміцнювати безпеку коду у масштабі.