News · OpenAI veröffentlicht Codex Security, einen Anwendungssicherheits-Agenten auf Basis eines projektspezifischen Bedrohungsmodells
OpenAI veröffentlicht Codex Security, einen Anwendungssicherheits-Agenten auf Basis eines projektspezifischen Bedrohungsmodells
Das früher als Aardvark bezeichnete Tool geht in die Research Preview und verspricht präzisere Ergebnisse mit Fokus auf jene webseitigen Schwachstellen, die bei schnell entwickeltem Frontend-Code entstehen.
Die Bugs auf der Liste sind Web-Anwendungs-Bugs
OpenAI beschreibt Codex Security als Anwendungssicherheits-Agenten, der "tiefen Kontext über Ihr Projekt aufbaut, um komplexe Schwachstellen zu identifizieren, die andere agentische Tools übersehen". Bemerkenswert an den Details ist die Art der genannten Schwachstellen. In frühen internen Einsätzen deckte das Tool eine reale SSRF-Lücke und eine kritische Cross-Tenant-Authentifizierungslücke auf. Die CVE-Liste im Anhang liest sich ähnlich: ein 2FA-Bypass und ein unauthentifizierter Bypass in GOGS, Path Traversal mit Möglichkeit zum beliebigen Schreiben, LDAP-Injection, eine Session, die bei Passwortänderung nicht rotiert wurde, sowie deaktivierte TLS-Verifizierung bei einem Elasticsearch-Client.
Das sind die typischen Fehlerarten beim Betrieb von Web-Systemen, keine abstrakten Memory-Safety-Details. Cross-Tenant-Auth-Lecks, nicht rotierte Sessions und SSRF sind genau jene Defekte, die sich ansammeln, wenn Anwendungs- und Interface-Code schnell geschrieben und ausgeliefert wird. OpenAI benennt den zeitlichen Zusammenhang direkt: "Agenten beschleunigen die Softwareentwicklung und machen Sicherheitsprüfungen zu einem immer kritischeren Engpass." Das Tool positioniert sich gegen genau diesen Prüfungsrückstand, den schnelles Shippen erzeugt.
Ein Bedrohungsmodell, das Teams bearbeiten können, plus Sandbox-Validierung
Der Mechanismus, den man sich genauer ansehen sollte, ist das Bedrohungsmodell. Codex Security analysiert ein Repository und erstellt ein projektspezifisches Modell, das laut OpenAI erfasst, "was das System tut, wem es vertraut und wo es am stärksten exponiert ist". Dieses Modell lässt sich bearbeiten, sodass ein Team die Annahmen des Agenten über Vertrauensgrenzen korrigieren kann – und es fließt in die Priorisierung der Befunde nach erwarteter realer Auswirkung ein.
Nach der Entdeckung testet der Agent die Befunde in isolierten Sandbox-Validierungsumgebungen unter Belastung und validiert Probleme – bei entsprechend auf das Projekt zugeschnittener Umgebung – "direkt im Kontext des laufenden Systems", wobei funktionierende Proof-of-Concepts entstehen. Anschließend schlägt er Patches vor, die zur Systemlogik passen und "Regressionen minimieren" sollen. Die gesamte Pipeline ist darauf ausgelegt, die Frage zu beantworten, die sich ein Triage-Ingenieur tatsächlich stellt: Ist das hier ausnutzbar, und was betrifft der Fix?
Die Präzisionsversprechen – und was sie nicht sagen
OpenAIs zentrales Verkaufsargument ist das Signal-Rausch-Verhältnis. Das Unternehmen gibt an, das Rauschen bei einem Repository seit dem ersten Rollout um 84 % reduziert zu haben, übermäßig hoch eingestufte Schweregrade um mehr als 90 % gesenkt zu haben und die Falsch-Positiv-Rate über alle Repositories hinweg um mehr als 50 % gesenkt zu haben. In den letzten 30 Tagen wurden mehr als 1,2 Millionen Commits in externen Beta-Repositories gescannt, wobei 792 kritische und 10.561 hochgradige Befunde markiert wurden – kritische Probleme traten in weniger als 0,1 % der gescannten Commits auf.
Das sind selbst berichtete Verbesserungen aus einer Beta-Phase, und die Vergleichswerte sind intern – die Prozentangaben beschreiben also den Fortschritt gegenüber OpenAIs eigener früherer Leistung, nicht einen Vergleich mit einem konkurrierenden Tool. Der Wert von 0,1 % ist das konkretere Signal: Er zeigt, dass das System die Flut geringwertiger Meldungen zurückhält, die laut Maintainern das eigentliche Problem war. Wie es ein NETGEAR-Prüfer formulierte:
Die Befunde waren beeindruckend klar und umfassend – oft entstand der Eindruck, als arbeite ein erfahrener Product-Security-Researcher direkt mit uns zusammen.Montana Labs
Was sich für Teams ändert, die Web-Code schnell ausliefern
Codex Security befindet sich in der Research Preview über Codex Web für ChatGPT-Pro-, Enterprise-, Business- und Edu-Kunden, mit einem Monat kostenloser Nutzung. Für Teams, deren Output aus Web- und Interface-Code besteht, liegt der praktische Nutzen nicht darin, dass der Agent Bugs findet, sondern darin, wie er sie strukturiert: ein an Ihre Architektur gebundenes Bedrohungsmodell, nach Auswirkung in Ihrem System priorisierte Befunde und Patches, die gezielt das Regressionsrisiko senken. Die Feedback-Schleife ist Teil des Designs – wird die Kritikalität eines Befunds angepasst, verfeinert das das Bedrohungsmodell für spätere Durchläufe.
Der Open-Source-Aspekt unterstreicht dieselbe Wette. OpenAI meldete Schwachstellen an Projekte wie OpenSSH, GnuTLS, GOGS, libssh, PHP und Chromium, wobei vierzehn CVEs vergeben wurden – nachdem Maintainer mitgeteilt hatten, das Problem seien "zu viele minderwertige" Meldungen, nicht zu wenige. Die Konsequenz für ein schnell arbeitendes Frontend- oder Full-Stack-Team ist eng gefasst, aber real: Der Wert eines agentischen Scanners entscheidet sich bei der Triage, und Codex Security setzt darauf, dass ein bearbeitbares, projektspezifisches Bedrohungsmodell den Output erst zu etwas macht, das die Zeit eines Sicherheitsingenieurs wert ist – statt nur eine weitere Warteschlange zum Abarbeiten.
Find this story relevant to you?
Contact us to find a unique solution
Brauchen Sie einen KI-Engineering-Partner, der auch liefern kann?
Wir helfen Unternehmen dabei, KI in Produkte und Prozesse zu integrieren, wertvolle Workflows zu automatisieren und die zugrunde liegenden Softwaresysteme zu modernisieren.
Weiterführende Beiträge
Weitere Analysen rund um Produktbereitstellung, operative KI und die Systemarbeit, die dafür sorgt, dass der Einsatz in der Praxis Bestand hat.