Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Viviamo nell’era dell’Intelligenza Artificiale applicata alla cybersecurity. E proprio al centro del dibattito ora finiscono le professioni digitali che sembravano più difficili da sostituire con l’AI: i bug hunter
OpenAI ha presentato Codex Security, un agente di intelligenza artificiale per individuare, verificare e correggere le vulnerabilità nei progetti software. Il nuovo strumento è già stato lanciato come anteprima di ricerca tramite la versione web di Codex per i clienti ChatGPT Pro, Enterprise, Business ed Edu. L’accesso sarà gratuito per il prossimo mese.
Codex Security è nato dal progetto Aardvark , che OpenAI ha lanciato in versione beta chiusa nell’autunno del 2025 per condurre analisi di vulnerabilità di sicurezza su larga scala. Ora, l’azienda sta compiendo un ulteriore passo avanti e promuove il sistema come un prodotto più maturo per i team DevSecOps e gli sviluppatori.
Secondo OpenAI, negli ultimi 30 giorni, la versione beta di Codex Security ha analizzato oltre 1,2 milioni di commit in repository esterni e identificato 792 problemi critici e 10.561 vulnerabilità di elevata gravità. I progetti interessati includono OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP e Chromium. L’elenco include anche diverse vulnerabilità ed esposizioni comuni (CVE) precedentemente segnalate per GnuPG, GnuTLS, GOGS e Thorium.
OpenAI afferma che il nuovo agente sfrutta le capacità di ragionamento dei suoi modelli di punta con la convalida automatizzata dei problemi identificati. Questo approccio dovrebbe ridurre i falsi positivi e offrire soluzioni implementabili anziché consigli astratti. Secondo le misurazioni interne dell’azienda, l’accuratezza della convalida è migliorata nel tempo e il tasso di falsi allarmi in tutti i repository è diminuito di oltre il 50%.
Codex Security opera in tre fasi.
In primo luogo, il sistema analizza il repository, identifica le parti critiche del progetto per la sicurezza e genera un modello di minaccia modificabile. In secondo luogo, l’agente ricerca le vulnerabilità, valuta i potenziali danni in condizioni reali e convalida ulteriormente i risultati in un ambiente isolato. Infine, il servizio suggerisce opzioni di ripristino basate sul comportamento del sistema per ridurre il rischio di effetti collaterali e semplificare la convalida delle modifiche prima dell’implementazione.
OpenAI sottolinea in particolare che, durante la personalizzazione dell’ambiente per un progetto specifico, Codex Security può verificare la presenza di potenziali problemi direttamente nel contesto di un sistema in esecuzione. Questa modalità, secondo l’azienda, riduce ulteriormente il tasso di falsi positivi e contribuisce a generare exploit proof-of-concept funzionanti per confermare le vulnerabilità.
Il lancio di Codex Security segue il lancio di Claude Code Security di Anthropic . Il mercato degli strumenti di auditing del codice basati sull’intelligenza artificiale si sta rapidamente muovendo verso un modello in cui il sistema non solo identifica i rischi, ma aiuta anche a dimostrare l’esistenza del problema e a predisporre una soluzione.
