OpenAI nimmt künstliche Intelligenz über den Textassistenten hinaus, um die tägliche Routine von Sicherheitsteams vollständig einzugeben: Diese Woche kündigte die Bereitstellung von Codex Sicherheit, ein Agent, der von Sprachmodellen betrieben wird, deren Aufgabe es ist, Code Schwachstellen zu erkennen, zu validieren und praktische Reparaturen vorzuschlagen. Das Unternehmen bietet über die Codex Web-Schnittstelle einen Voruntersuchungszugriff auf ChatGPT Pro, Enterprise, Business und Edu-Kunden mit einem Monat freier Nutzung für Teams, um das Tool ohne anfängliche wirtschaftliche Barrieren zu testen. Sie können die offizielle Notiz auf OpenAI's Blog in diesem Link lesen: openai.com.
Im Hintergrund ist Codex Security nicht nur ein statischer Scanner, der nach gefährlichen Mustern in Dateien sucht; der OpenAI-Wert-Vorschlag besteht darin, die Begründungskapazität seiner aktuellen Modelle mit automatischen Überprüfungsmechanismen zu kombinieren, um falsche Warnungen zu reduzieren und handlungsfähige Ergebnisse zu liefern. Laut den Daten, die das Unternehmen selbst geteilt hat, hat das Tool in der Beta-Periode mehr als 1,2 Millionen Verpflichtungen von öffentlichen Repositorien untersucht und Hunderte von kritischen Ergebnissen und Tausenden von hoher Schwere berichtet. Dieses Analysevolumen zeigt zwei Dinge: zum einen die wachsende Nachfrage nach Automatisierung in der Anwendungssicherheit; zum anderen die Herausforderung einer solchen Analyse, die für ein bereits überbearbeitetes Team notwendig und nützlich ist.
Die Art und Weise, wie Codex Security diese Herausforderung anspricht, wird in mehreren Phasen artikuliert, die versuchen, ihre Schlussfolgerungen auf den tatsächlichen Kontext des Projekts zu verankern. Zuerst scannt der Agent die Code-Basis und baut eine Darstellung, die die Systemstruktur und die am meisten exponierten Punkte erfasst: eine Art editierbares Bedrohungsmodell, das hilft, zu priorisieren, wo es wert ist zu suchen. Mit dieser globalen Vision geht der Agent weiter, um Probleme zu identifizieren, die durch ihre Natur oder ihren Standort wahrscheinlicher zu echten Risiken werden. Und es bleibt dort nicht: Die festgestellten Vorfälle werden in isolierten Umgebungen validiert, wo das System versucht, die Verwundbarkeit zu reproduzieren oder zu bestätigen, bevor es dem menschlichen Team präsentiert. Dieser Ansatz "erkennen, validieren und vorschlagen" zielt darauf ab, das von traditionellen Werkzeugen erzeugte Geräusch zu reduzieren und die Akzeptanz und Umsetzung von vorgeschlagenen Anordnungen durch Entwickler zu erleichtern.
Die praktische Validierung in kontrollierten Umgebungen ist einer der Aspekte, die OpenAI mit größerem Nachdruck hervorhebt, weil sie, wie er sagt, die Möglichkeit gibt, Beweise für das Konzept zu generieren, das solide Beweise für Sicherheitsbeamte liefert und die Unsicherheit in der Entscheidungsfindung reduziert. Wenn das Werkzeug mit einer Umgebung konfiguriert ist, die die eigentliche Ausführung des Projekts widerspiegelt, kann es versuchen, Fehler im Kontext zu überprüfen, was laut dem Unternehmen die falschen Signale weiter reduziert und die Herstellung von Patches mit weniger funktionellen Regressionen erleichtert.
Die reale Wirkung dieser Strategie spiegelt sich in den Zahlen wider, die OpenAI auf den Tisch gesetzt hat: ein anhaltender Rückgang der Rate falscher Positives bei der Analyse der gleichen Repositories im Laufe der Zeit, mit einer Reduktion, die nach Angaben des Unternehmens 50% in mehreren Fällen übersteigt. Darüber hinaus umfassten die in der Betaphase identifizierten Ergebnisse Schwachstellen in bekannten Komponenten und Projekten des Open Source-Ökosystems - Projekte wie OpenSSH, GnuTLS und Chromium, unter anderem - deren Betreuer und Nutzer auf den offiziellen Seiten dieser Projekte konsultiert werden können: OpenSSH, GnuTLS und der Sicherheitsraum Chrom. Für allgemeinere Software in Web-Umgebungen und Servern ist es nützlich, offizielle Kanäle wie den Sicherheitsbereich von PHP.
Codex Security ist auch die Entwicklung früherer interner OpenAI-Projekte, die auf die Softwaresicherheit abzielen; ihre bisherige Arbeit legte die Grundlage für einen leistungsfähigeren Agent, Architekturen zu verstehen und Vorfälle durch reale Auswirkungen zu priorisieren. Diese Entwicklung ist relevant, weil im Bereich der Sicherheit der Unterschied zwischen einem Nutzsignal und einem falschen Alarm die Annahme des Werkzeuges bestimmt: Sicherheitsausrüstung braucht nicht mehr Lärm, sondern hilft ihnen mit mehr Geschwindigkeit und Vertrauen.
Es ist kein Zufall, dass große Lieferanten und Entwicklungsteams versuchen, automatisierte Assistenten zu integrieren: In den letzten Wochen haben andere Unternehmen im IA-Sektor auch Lösungen bekannt gegeben, um Codebasen zu scannen und Patches vorzuschlagen. Die Konkurrenz der Vorschläge unterstreicht einen klaren Trend in der Industrie: Automatisierung und kontextuelle Modellierung sind keine Experimente mehr und werden Teil des üblichen Workflows in der Verwaltung von Schwachstellen.
Selbstverständlich bringt die Annahme eines Agenten mit der Fähigkeit, Validierungen durchzuführen und automatische Patches zu erstellen, legitime Fragen zur betrieblichen Sicherheit, Berechtigungen und Governance. Jede Organisation, die die Verwendung solcher Werkzeuge betrachtet, sollte die Zugangsgrenzen eindeutig definieren, wie automatische Tests validiert werden und die die Integration von vorgeschlagenen Änderungen billigt. Darüber hinaus bleibt die Aufrechterhaltung der menschlichen Rückverfolgbarkeit und Überprüfung zu kritischen Zeiten ein wesentlicher Schutz: Werkzeuge können die Arbeit beschleunigen, aber die ultimative Verantwortung für den Einsatz und die Minderung bleibt bei den Teams und deren Steuerungspolitik.
Für Geräte, die kritische Software verwalten, kann die Prüfung einer freien Phase wie OpenAI verwendet werden, um die Kompatibilität zwischen dem Werkzeug und seinen Prozessen zu bewerten und zu messen, ob Geräuschreduzierung und Verbesserung der Genauigkeit die operativen Risiken ausgleichen, die alle Automatisierung einführt. Organisationen, die mit Komponenten mit einer Historie von Schwachstellen arbeiten, wie die oben genannten Open Source-Projekte, finden Wert bei der Integration automatisierter Berichte mit den Versorgungskanälen und Überprüfungsflüssen, die sie bereits verwenden. Für diejenigen, die mehr über spezielle Projektsicherheitsinstrumente, die US-Infrastruktur und Cybersecurity-Agentur untersuchen wollen. USA (CISA) unterhält Ressourcen für Browser-Projekte und Komponenten, die überprüft werden müssen, zum Beispiel Ihr Browser-Informationsblatt Thor.
Kurz gesagt, die Ankunft von Codex Security ist ein weiterer Schritt in der Professionalisierung von IA-assisted Security: ein Tool, das verspricht, den Kontext besser zu verstehen, Ergebnisse zu validieren und Korrekturen vorzuschlagen, um Bruch zu minimieren. Es bleibt zu erkennen, wie sie in bestehende Entwicklungsketten integriert ist und inwieweit sie die Reaktion auf echte Produktionsbedrohungen verbessert. Was scheint klar zu sein, ist, dass die Software-Sicherheit jetzt ein Feld ist, in dem fortgeschrittene Sprachmodelle eine operative Rolle spielen wollen, nicht nur informativ, und das ändert die Regeln des Spiels für Ausrüstung, Lieferanten und Risikomacher.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...