OpenAI Codex Security Analisa 1,2 Milhão de Commits e Encontra 10.561 Falhas de Alta Gravidade
Aprofundamento CEVIU
Aprofundamento
O Codex Security da OpenAI não é só mais um scanner de código: ele opera em três estágios sequenciais, identificação, validação em sandbox e remediação, e constrói modelos de ameaças personalizados para cada repositório, algo que ferramentas tradicionais como Snyk ou Semgrep não fazem. Durante a fase beta privada com clientes como Netgear, o agente já reduziu falsos positivos em mais de 50% e superestimativas de gravidade em mais de 90%. Em 30 dias pré-lançamento, analisou 1,2 milhão de commits e descobriu 792 falhas críticas, incluindo vulnerabilidades exploráveis em OpenSSL, Chromium e OpenSSH, gerando 14 CVEs confirmados. A validação em ambiente isolado permite até a geração de provas de conceito funcionais, o que eleva o nível de confiança nas detecções.
Ele está disponível desde 6 de março de 2026 como prévia de pesquisa, com acesso gratuito por um mês para usuários do ChatGPT Enterprise, Edu, Business e Pro. A integração é direta com GitHub via Codex Web, sem necessidade de instalação local. O lançamento ocorre em paralelo ao da Anthropic com o Claude Code Security, mas com diferenciação técnica clara: o Codex prioriza contexto de projeto e comportamento real do sistema, enquanto o concorrente adota arquitetura multi-agente ainda em validação independente.
Por que isso importa
Empresas que dependem de código aberto enfrentam riscos crescentes de exploração silenciosa, como mostram os 14 CVEs já atribuídos. O Codex Security reduz o tempo entre detecção e correção, mas também muda o equilíbrio de poder entre equipes de segurança e desenvolvedores: ao sugerir correções alinhadas à intenção do código e ao contexto operacional, ele diminui disputas técnicas e acelera a revisão humana. Para governos e setores regulados, a capacidade de modelar ameaças específicas e validar exploração real em sandbox passa a ser um diferencial prático em auditorias e conformidade com normas como a LGPD e a Lei de Segurança Cibernética da ANATEL.
Perguntas frequentes
O Codex Security substitui ferramentas tradicionais de SAST/DAST?
Não substitui, complementa. Ele não faz escaneamento de rede (DAST) nem análise estática profunda de bytecode, mas adiciona camada de contexto e validação que SASTs convencionais não oferecem. Funciona melhor quando integrado ao fluxo existente, não como substituto.
Como ele evita falsos positivos em projetos complexos?
Constrói um modelo de ameaças específico do repositório, editável pela equipe, e valida cada alerta em sandbox com execução real do trecho suspeito. Isso confirma se a vulnerabilidade é explorável no contexto exato do projeto, não apenas sintaticamente presente.
Quais projetos de código aberto já foram impactados?
Já gerou CVEs em OpenSSL, OpenSSH, Chromium, PHP, GnuTLS e GOGS. As falhas críticas representam menos de 0,1% dos commits analisados, mas tiveram alta taxa de confirmação e exploração prática em ambiente controlado.
Há custo para mantenedores de projetos open source?
Não. O programa 'Codex for OSS' oferece acesso gratuito ao Codex Security, além de ChatGPT Pro e suporte técnico dedicado. A OpenAI planeja expandir esse suporte nas próximas semanas, com foco em projetos essenciais para infraestrutura crítica.
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 09 de março de 2026
- Editoria
- CEVIU Segurança da Informação
