OpenAI lance un outil d'agent de sécurité des applications basé sur l'IA appelé Codex Security, qui peut découvrir automatiquement les vulnérabilités de sécurité dans le code, vérifier les problèmes suspectés et fournir des plans de réparation. La sortie de ce produit signifie qu'OpenAI est officiellement entré sur le marché en croissance rapide de la sécurité des codes d'IA, intensifiant la concurrence avec les fournisseurs traditionnels de sécurité des applications et d'autres laboratoires d'IA de pointe.
Selon certaines informations, Codex Security proviendrait d'Aardvark, un agent de recherche en sécurité qu'OpenAI a commencé à tester avec un petit nombre de clients l'année dernière et a évolué sur cette base. La plateforme peut effectuer une analyse complète de l'entrepôt de code, tester sous pression les vulnérabilités suspectées dans un environnement sandbox isolé, générer des échantillons d'exploitation des vulnérabilités qui peuvent prouver l'ampleur de l'impact et fournir des suggestions de réparation correspondantes pour aider les entreprises à déplacer les inspections de sécurité vers le processus de développement.
Codex Security est actuellement disponible en tant qu'« aperçu de recherche » pour les clients Entreprise, Entreprises et Éducation d'OpenAI, et les utilisateurs peuvent l'essayer gratuitement pendant un mois à partir d'aujourd'hui. OpenAI a déclaré qu'au cours de la phase de test, Codex Security a identifié près de 800 découvertes de niveau critique et plus de 10 500 problèmes à haut risque dans les référentiels de code exposés, et a utilisé l'outil pour localiser les vulnérabilités dans plusieurs projets open source tels que OpenSSH, GnuTLS et Chromium.
"Nous voulons nous assurer que nous responsabilisons réellement les défenseurs", a déclaré à Axios Ian Brelinsky, membre de l'équipe de sécurité d'OpenAI Codex. Alors que les attaquants continuent de militariser de grands modèles, les laboratoires d’IA de pointe sont aux prises avec le risque d’abus de modèles tout en accélérant l’introduction d’outils qui aident les défenseurs à renforcer leurs capacités de sécurité. Anthropic vient de lancer le mois dernier un Claude Code Security similaire, qui faisait autrefois fluctuer le cours des actions des fabricants traditionnels de sécurité réseau, soulignant l'impact de cette tendance sur l'écosystème de sécurité existant.
Cependant, de nombreux responsables de la sécurité estiment que les grandes entreprises continueront d'adopter une stratégie de sécurité de « combinaison multi-fournisseurs » dans un avenir proche, plutôt que de s'appuyer entièrement sur la même plate-forme d'IA pour construire et protéger ces systèmes. Brelinsky a déclaré que la sécurité des codes n'est qu'une pièce du puzzle dans le paysage plus vaste de la sécurité des réseaux. OpenAI étudie également comment étendre davantage de capacités « de type agent » aux scénarios de défense et continuer à fournir un support automatisé aux équipes de sécurité.