Это не просто очередной инструмент для анализа кода, а полноценный автономный агент, который сам строит модель угроз, тестирует уязвимости и выдаёт отчёты с готовыми CVE. Codex Security вышел в исследовательском превью для пользователей ChatGPT Enterprise, Business и Edu. Раньше проект звался Aardvark, но OpenAI решила переименовать его в честь своей кодовой модели Codex, которая лежит в основе анализа. Агент не просто ищет паттерны вроде SQL-инъекций или buffer overflow, а адаптируется под конкретный репозиторий. Сначала строит контекстную модель угроз (какие компоненты критичны, какие атаки реалистичны), потом копается в коде, а потом проверяет находки в изолированных песочницах. Это снижает ложные срабатывания. Например в бета-тестах их стало на 50% меньше, а в одном проекте повторяющиеся алерты сократились на 84%. За последние 30 дней Codex Security прошёл через мясорубку более 1,2 миллиона коммитов из открытых репозиториев. Итог - 792 критических уязвимости, из которых 14 уже оформили в официальные CVE. OpenAI сама сообщила о них мейнтейнерам. Вот ключевые находки: OpenAI не останавливается на этом. Они расширяют программу для мейнтейнеров open-source. Скоро любой владелец репозитория сможет подключить агента для регулярных проверок, а OpenAI поможет с верификацией и публикацией CVE. Это прямой удар по рынку кибербезопасности. Акции компаний вроде Synopsys и Checkmarx просели на 3–5% после анонса. Интересно, что Anthropic за пару дней до этого представила свой инструмент для поиска уязвимостей на базе Claude. Оба релиза - март 2026. Это показывает, что гонка за ИИ в кибербезопасности набирает обороты. OpenAI играет на объёме и интеграции с ChatGPT, Anthropic на этичности и контроле (их агент отказывается от серых эксплойтов). Но суть одна - ручной аудит кода уходит в прошлое. Теперь уязвимости будут ловить не только багхантеры с RedHat, но и автономные агенты. Для разработчиков это значит, что GitHub-репозиторий скоро станет умным. Что-то вроде подключил Codex и получил не просто скан, а приоритизированный список дыр с PoC и патчами. Для open-source это спасение. Мейнтейнеры мелких проектов часто игнорируют безопасность, потому что нет ресурсов. Но с codex, они смогут решить эту проблему. OpenAI явно метит в лидеры этой ниши, и если они доведут ложные срабатывания до минимума, традиционные инструменты вроде SonarQube или Semgrep окажутся неконкурентоспособными.