💡 Resumen (TL;DR):
- OpenAI presentó un agente de seguridad que analiza repositorios de código para encontrar y solucionar fallos.
- Durante su fase beta, la herramienta revisó más de 1.2 millones de commits y detectó 792 problemas críticos.
- El lanzamiento marca la entrada directa de la compañía al mercado de la ciberseguridad para competir con Anthropic.
OpenAI anunció el lanzamiento de su nueva herramienta para proteger sistemas corporativos, marcando su entrada más directa al mercado de la ciberseguridad. Codex Security es un agente de seguridad de aplicaciones impulsado por inteligencia artificial que escanea repositorios de código para detectar, validar y parchear vulnerabilidades. La plataforma ya está disponible en versión preliminar para la investigación.
Conocida como Aardvark durante su beta privada el año pasado, esta herramienta analiza la estructura de los proyectos para construir un modelo de amenazas específico. Luego, clasifica las vulnerabilidades según su impacto real y las pone a prueba en entornos aislados (sandbox) para descartar falsos positivos antes de proponer parches.
Durante su fase de pruebas, la IA analizó más de 1.2 millones de commits en repositorios externos. Los resultados mostraron 792 hallazgos críticos y 10,561 problemas de alta severidad. Los errores críticos aparecieron en menos del 0.1% de los commits escaneados.
OpenAI logró reducir la tasa de falsos positivos en más del 50% y disminuyó en un 90% los reportes con severidad exagerada. El sistema ya reportó vulnerabilidades en proyectos de código abierto de uso masivo como OpenSSH, GnuTLS, PHP y Chromium, obteniendo 14 CVEs (Vulnerabilidades y Exposiciones Comunes) asignados a su nombre.
Chandan Nandakumaraiah, jefe de seguridad de productos en NETGEAR, probó el sistema y aseguró que la herramienta dio “la sensación de que un investigador experimentado de seguridad de productos trabajaba a nuestro lado”.
Competencia directa y aceleración defensiva
Codex Security se implementará para los usuarios de ChatGPT Enterprise, Business y Edu, ofreciendo el primer mes de uso gratuito. La empresa entra a un sector competitivo donde Anthropic presentó el 20 de febrero Claude Code Security, un escáner que sugiere parches mediante verificación en múltiples etapas.
Por su parte, la startup de ciberseguridad Knostic liberó OpenAnt, un escáner open-source basado en el modelo Opus 4.6 de Anthropic, pensado para desarrolladores que carecen de plataformas empresariales.
El lanzamiento de OpenAI ocurre tras meses de análisis interno sobre los riesgos de sus propios modelos. En enero, el CEO Sam Altman adelantó que las actualizaciones de Codex alcanzarían por primera vez el nivel “Alto” de riesgo de ciberseguridad en el marco de preparación de la empresa.
La compañía impondrá restricciones iniciales para evitar el mal uso de la plataforma antes de pasar a una fase de “aceleración defensiva”, diseñada para ayudar a los desarrolladores a reparar agujeros de seguridad antes de que los atacantes los exploten.
“Es muy importante que el mundo adopte estas herramientas rápidamente para hacer el software más seguro”, escribió Altman en X. “Pronto habrá muchos modelos muy capaces en el mundo”.
