OpenAI hat mit Codex Security eine Forschungs-Vorschau für einen neuen KI-gestützten Schwachstellenscanner vorgestellt. Das System wurde entwickelt, um Sicherheitsprobleme in Softwareprojekten automatisiert aufzuspüren und Entwicklerteams bei der Bewertung und Behebung von Risiken zu unterstützen. Hintergrund ist ein wachsender Trend: Während KI immer häufiger beim Programmieren eingesetzt wird, steigt gleichzeitig auch die Menge an Code, die überprüft werden muss.
Besonders spannend ist der Zeitpunkt der Veröffentlichung. Kurz zuvor hatte Anthropic berichtet, dass ein KI-Scanner auf Basis von Claude Opus 4.6 mehr als 100 Sicherheitslücken im Firefox-Code entdeckt habe. OpenAI reagiert nun mit einem eigenen Ansatz, der ursprünglich intern unter dem Projektnamen „Aardvark“ entwickelt wurde und bereits seit einiger Zeit in einer geschlossenen Beta getestet wird.
Im Kern funktioniert Codex Security wie ein intelligenter Sicherheitsanalyst. Das System baut zunächst ein umfassendes Verständnis des analysierten Softwareprojekts auf. Dazu erkennt die KI automatisch die Struktur des Codes, identifiziert sicherheitsrelevante Komponenten und erstellt daraus ein Bedrohungsmodell. Dieses Modell berücksichtigt beispielsweise, welche Teile des Systems besonders sensible Funktionen erfüllen, welche Komponenten miteinander kommunizieren und wo mögliche Angriffsflächen liegen.
Auf Basis dieser Kontextanalyse sucht die KI anschließend gezielt nach potenziellen Schwachstellen. Ein entscheidender Vorteil liegt laut OpenAI darin, dass das System nicht nur Fehler meldet, sondern auch versucht, deren tatsächliche Bedeutung einzuschätzen. Viele bestehende Tools produzieren große Mengen an Warnmeldungen – darunter zahlreiche Fehlalarme. Für Security-Teams bedeutet das oft einen enormen Aufwand bei der Bewertung der Ergebnisse.
Codex Security soll genau dieses Problem reduzieren. Wenn möglich, führt die KI sogar Tests der gefundenen Schwachstellen in Sandbox-Umgebungen durch. Dadurch kann sie prüfen, ob eine Lücke tatsächlich ausnutzbar ist. Zusätzlich erstellt das System Proof-of-Concept-Code, der zeigt, wie ein Angriff funktionieren könnte. Entwickler erhalten damit eine deutlich bessere Grundlage, um die Risiken zu bewerten.
Darüber hinaus schlägt Codex Security konkrete Korrekturen im Code vor. Das kann den Review-Prozess deutlich beschleunigen – ein wichtiger Faktor, da sich die Softwareentwicklung durch KI-Assistenzsysteme immer weiter beschleunigt.
Erste Tests zeigen laut OpenAI bereits Ergebnisse: In verschiedenen Open-Source-Projekten wurden insgesamt 15 Sicherheitslücken mit CVE-Einträgen entdeckt. Die meisten davon wurden als mittleres Risiko eingestuft, einige jedoch auch als kritisch.
Parallel dazu startet OpenAI das Programm „Codex for OSS“. Beteiligte an Open-Source-Projekten erhalten Zugriff auf Codex Security sowie zusätzliche Funktionen wie Code-Reviews und kostenfreien Zugang zu ChatGPT Pro und Plus. Ziel ist es, die Sicherheit in Open-Source-Software langfristig zu verbessern.
Für Entwickler und Security-Teams könnte sich damit ein neuer Ansatz etablieren: KI nicht nur zum Schreiben von Code zu nutzen, sondern auch als automatisierten Sicherheitsanalysten, der Schwachstellen frühzeitig erkennt.