继Anthropic之后,OpenAI也公开代码安全功能…安全业界‘触动’
Source: Byline Network
从代码仓库分析到补丁建议
Codex Security通过分析代码仓库生成系统级威胁模型(threat model),并基于此检测漏洞,验证实际风险度并提出补丁的 应用安全代理。
- 威胁模型生成 – 分析代码仓库,了解系统结构·信任关系·攻击暴露点,并为每个项目创建威胁模型。
- 漏洞检测·验证 – 基于威胁模型检测漏洞,并在沙箱或接近真实运行环境的条件下进行验证。
- 补丁建议 – 考虑系统上下文,提出修复漏洞的补丁。
OpenAI解释说,他们专注于减少现有AI安全工具产生低风险警报和大量误报的问题。
Codex Security是基于OpenAI去年针对部分企业以非公开Beta形式运营的安全研究代理 Aardvark(阿德瓦克) 演进而来的服务。Aardvark发现了实际的服务器端请求伪造(SSRF)和多租户认证漏洞等,并将这些技术整合到Codex平台并公开。
OpenAI公开的Codex Security介绍视频 (图片=OpenAI官网截图)
据OpenAI称,在非公开Beta期间对同一仓库进行重复分析的结果显示,噪声(重要度低的信号)最高下降了84%,风险度过度高标的比例下降了90%以上。整体仓库的误报率也降低了50%以上。
OpenAI透露,在最近30天内分析了超过120万个外部仓库,发现了 792个致命漏洞 和 15,610个高风险漏洞。在开源项目中,OpenSSH、GnuTLS、GOGS、libssh、PHP、Chromium等共计分配了14个通用漏洞及CVE。
与Claude Code Security的竞争…海外反应不一
Anthropic于2月20日(当地时间)以研究预览的形式公开了 Claude Code Security。该功能集成在Claude Code网页中,分析代码仓库、发现漏洞并提供修复方案。从结构上看与OpenAI的Codex Security相似,Anthropic宣布通过它在运行中的开源代码库中发现了 500多个漏洞。
有观点认为,AI公司直接进入代码安全领域可能会对现有的应用安全市场产生影响。
- 股价反应:据路透社报道,Anthropic在2月23日(当地时间)公布Claude Code Security后,CrowdStrike、Datadog、Zscaler等主要网络安全公司的股价下跌约11%,Fortinet和Okta下跌约6%。截至3月9日,部分已恢复。
- 专家意见:英国媒体 Cyber Magazine 引用了CrowdStrike CEO George Kurtz的话:“基于AI的代码扫描功能并不能取代‘Falcon平台’或整个安全程序”。美国媒体 Axios 表示:“许多安全负责人更倾向于让企业同时使用多个安全工具,而不是将开发平台和安全平台交给同一家供应商”。
国内安全业界 “补充而非替代,对早期扫描和发布前检查有效”
国内安全业界也在关注AI驱动的代码安全工具的趋势。目前多数被评估为 补充性 工具,尤其在 开发初期漏洞检测·发布前首次检查·开源代码审查方面的使用度较高。然而,关于 业务逻辑漏洞分析 或 高级攻击场景验证 的全面承担仍被认为时机尚早。
- TIORE 相关人士:“基于AI的代码漏洞检测结果更像是潜在问题列表。实际安全现场重要的是能够被攻击复现的漏洞”,并说明他们通过AI黑客‘Xint’和基于AI的代码分析工具‘Xint Code’共同进行网页安全检查和代码分析。
- Enki Whitehat 相关人士:“Claude Code Security和Codex Security可以视为基于AI的静态应用安全测试(SAST)解决方案,可能会影响现有商业SAST工具”,并强调“需要进一步观察AI提出的安全补丁在实际运营环境中是否会产生副作用,以及对服务质量的影响”。
- 其他安全业界人士:“基于AI的代码安全工具与人工发现的漏洞有相当程度的重叠,能够快速定位代码错误或相对简单的漏洞。但随着代码规模增大,可能会遗漏整体上下文,对于需要整体流程审视的业务逻辑或逻辑缺陷仍有局限”,并评价“在产品发布前进行一次检查的用途是合适的”。
- AI Spera CEO 姜炳탁:“基于AI的代码安全工具可以减少重复检测和首次分析工作,提高漏洞检查的速度和效率。将自动化扫描后结合人工复核和迭代学习,可降低误报,并在一定程度上辅助红队工作”。
文. Byline Network
郭中熙 记者 – god8889@byline.network