OpenAI 出手安全赛道：Codex Security 要让 AI 自己找 Bug、自己修 Bug

3 月 29 日，OpenAI 开发者账号 @OpenAIDevs 发布了一条引起广泛关注的推文，宣布了 Codex 平台的最新能力：Codex Security——一个能自动查找、验证和修复代码漏洞的安全代理。

这条推文在短时间内获得了超过 8 万次浏览和 560 个点赞，开发者社区反应热烈。

不只是扫描器，是安全工程师

传统的代码安全工具，比如 Snyk、SonarQube、CodeQL，本质上都是"规则匹配"——你写好规则，工具去代码里找匹配项。这种方式有用，但有明显的天花板：它不理解代码的业务逻辑，容易误报，也容易漏掉那些藏在复杂调用链里的深层漏洞。

Codex Security 走的是完全不同的路。它基于 OpenAI 的 Codex 编码代理平台，具备代码理解和自主推理能力。简单说，它不是在字符串层面匹配模式，而是像一个有经验的安全工程师一样，"读懂"代码在做什么，然后判断哪里有问题。

这意味着几件事：

• 上下文感知：它能理解一个函数在整个项目中的作用，而不是孤立地看一段代码
• 深度推理：能追踪数据流，判断用户输入是否可能被注入到 SQL 查询或命令执行中
• 自动验证：找到潜在漏洞后，它会尝试构造攻击路径来验证这个漏洞是不是真的可利用

从"发现"到"修复"的闭环

最让开发者兴奋的，可能不是"找漏洞"这件事本身——毕竟市面上能找漏洞的工具已经不少了。真正的亮点在于 Codex Security 把整个安全工作流串成了闭环：