Vào thứ Sáu, OpenAI đã bắt đầu triển khai Codex Security, một tác nhân bảo mật được hỗ trợ bởi trí tuệ nhân tạo (AI) được thiết kế để tìm, xác thực và đề xuất các bản sửa lỗi cho các lỗ hổng.
Tính năng này hiện có sẵn dưới dạng bản xem trước nghiên cứu dành cho khách hàng ChatGPT Pro, Enterprise, Business và Edu thông qua web Codex, miễn phí sử dụng trong tháng tới.
"Nó xây dựng ngữ cảnh sâu sắc về dự án của bạn để xác định các lỗ hổng phức tạp mà các công cụ tác nhân khác bỏ lỡ, đưa ra các phát hiện đáng tin cậy hơn với các bản sửa lỗi giúp cải thiện đáng kể bảo mật hệ thống của bạn, đồng thời giúp bạn không bị làm phiền bởi những lỗi không đáng kể," công ty cho biết.
Codex Security đại diện cho sự phát triển của Aardvark, mà OpenAI đã tiết lộ trong bản beta riêng tư vào tháng 10 năm 2025 như một cách để các nhà phát triển và đội ngũ bảo mật phát hiện và sửa các lỗ hổng bảo mật trên quy mô lớn.
Trong 30 ngày qua, Codex Security đã quét hơn 1,2 triệu bản commit trên các kho lưu trữ bên ngoài trong suốt quá trình thử nghiệm beta, xác định 792 phát hiện nghiêm trọng (critical findings) và 10.561 phát hiện mức độ nghiêm trọng cao (high-severity findings). Những lỗ hổng này bao gồm các lỗ hổng trong nhiều dự án mã nguồn mở khác nhau như OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP và Chromium, cùng nhiều dự án khác. Một số trong số đó đã được liệt kê dưới đây:
- GnuPG - CVE-2026-24881, CVE-2026-24882
- GnuTLS - CVE-2025-32988, CVE-2025-32989
- GOGS - CVE-2025-64175, CVE-2026-25242
- Thorium - CVE-2025-35430, CVE-2025-35431, CVE-2025-35432, CVE-2025-35433, CVE-2025-35434, CVE-2025-35435, CVE-2025-35436
Theo công ty AI, phiên bản mới nhất của tác nhân bảo mật ứng dụng này tận dụng khả năng suy luận của các mô hình tiên tiến và kết hợp chúng với xác thực tự động để giảm thiểu rủi ro báo động giả (false positives) và cung cấp các bản sửa lỗi có thể thực hiện được.
Các bản quét của OpenAI trên cùng các kho lưu trữ theo thời gian đã cho thấy độ chính xác ngày càng tăng và tỷ lệ báo động giả (false positive rates) giảm, với tỷ lệ sau đó đã giảm hơn 50% trên tất cả các kho lưu trữ.
Trong một tuyên bố chia sẻ với The Hacker News, OpenAI cho biết Codex Security được thiết kế để cải thiện tỷ lệ tín hiệu trên nhiễu (signal-to-noise) bằng cách đặt việc phát hiện lỗ hổng vào ngữ cảnh hệ thống và xác thực các phát hiện trước khi hiển thị chúng cho người dùng.
Cụ thể, tác nhân này hoạt động theo ba bước: nó phân tích một kho lưu trữ để nắm bắt cấu trúc liên quan đến bảo mật của hệ thống dự án và tạo ra một mô hình mối đe dọa (threat model) có thể chỉnh sửa để ghi lại những gì hệ thống làm và những nơi nó dễ bị tấn công nhất.
Khi ngữ cảnh hệ thống được xây dựng, Codex Security sử dụng nó làm nền tảng để xác định các lỗ hổng và phân loại các phát hiện dựa trên tác động thực tế của chúng. Các vấn đề được gắn cờ sẽ được thử nghiệm trong môi trường hộp cát (sandboxed environment) để xác thực.
"Khi Codex Security được cấu hình với một môi trường phù hợp với dự án của bạn, nó có thể xác thực các vấn đề tiềm ẩn trực tiếp trong ngữ cảnh của hệ thống đang chạy," OpenAI cho biết. "Việc xác thực sâu hơn đó có thể giảm thiểu báo động giả (false positives) hơn nữa và cho phép tạo ra các bằng chứng khái niệm (proofs-of-concept) hoạt động, cung cấp cho các đội bảo mật bằng chứng mạnh mẽ hơn và một lộ trình khắc phục rõ ràng hơn."
Giai đoạn cuối cùng liên quan đến việc tác nhân đề xuất các bản sửa lỗi phù hợp nhất với hành vi hệ thống để giảm thiểu sự thoái lùi (regressions) và giúp việc xem xét, triển khai dễ dàng hơn.
Thông tin về Codex Security xuất hiện vài tuần sau khi Anthropic ra mắt Claude Code Security để giúp người dùng quét mã nguồn phần mềm tìm lỗ hổng và đề xuất các bản vá.
