OpenAI passa all'offensiva sulla sicurezza del codice. L'azienda lancia oggi [Codex](https://chatgpt.com/codex) Security, un agente di sicurezza applicativa che analizza in profondità i tuoi repository di codice per identificare le vulnerabilità critiche che gli strumenti classici non rilevano. A differenza degli scanner tradizionali che sommergono i team di falsi positivi, Codex Security costruisce un modello di minaccia specifico per il tuo progetto prima di cercare le falle — e propone fix pronti per il merge.
Il vero problema: troppo rumore, poco segnale
Gli strumenti di sicurezza IA attuali condividono un difetto fondamentale: analizzano il codice senza comprendere il sistema. Il risultato? Centinaia di avvisi, la maggior parte dei quali sono falsi positivi o scoperte a basso impatto. I team di sicurezza passano più tempo a fare triage del rumore che a correggere problemi reali.
Il problema si aggrava con l'accelerazione dello sviluppo da parte degli agenti IA. Quando i tuoi sviluppatori usano GitHub Copilot, Cursor o OpenAI Codex per scrivere codice più velocemente, la revisione di sicurezza diventa il collo di bottiglia critico della pipeline. Codex Security affronta entrambi i lati dell'equazione: ridurre il rumore per i team di sicurezza e accelerare il ciclo di validazione per non frenare gli sviluppatori.
Come funziona Codex Security
1. Costruzione di un modello di minaccia su misura
Dopo la configurazione di uno scan, Codex Security analizza il tuo repository per comprendere la struttura di sicurezza del sistema. Genera un modello di minaccia specifico del progetto che cattura cosa fa il sistema, di cosa si fida e dove è più esposto. Questo modello di minaccia è modificabile — il tuo team può affinarlo per mantenere l'agente allineato con l'architettura reale.
È un cambiamento di approccio radicale. Invece di scansionare ciecamente il codice alla ricerca di pattern noti, l'agente comprende prima il contesto di business prima di cercare le vulnerabilità.
2. Prioritizzazione e validazione in sandbox
Usando il modello di minaccia come contesto, Codex Security cerca le vulnerabilità e categorizza le scoperte in base al loro impatto reale nel sistema. Quando possibile, testa le scoperte in ambienti di validazione sandbox per distinguere il segnale dal rumore.
Quando Codex Security è configurato con un ambiente adatto al tuo progetto, può validare i problemi potenziali direttamente nel contesto del sistema in funzionamento. Questa validazione più profonda riduce ulteriormente i falsi positivi e permette la creazione di proof-of-concept funzionanti — prove concrete che danno ai team di sicurezza una base solida per la remediation.
3. Fix con contesto di sistema completo
Infine, Codex Security propone fix allineati con l'intento del sistema e il comportamento circostante. L'obiettivo: patch che migliorano la sicurezza minimizzando le regressioni, rendendoli più sicuri da revisionare e mergeare.
L'agente impara anche dai tuoi feedback nel tempo. Quando aggiusti la criticità di una scoperta, utilizza quel feedback per affinare il modello di minaccia e migliorare la precisione degli scan successivi.
Numeri che parlano da soli
Negli ultimi 30 giorni di beta, Codex Security ha scansionato più di 1,2 milioni di commit nei repository dei tester esterni:
| Metrica | Valore |
|---|---|
| Commit scansionati (30 giorni) | 1,2 milioni+ |
| Scoperte critiche | 792 |
| Scoperte ad alta severità | 10.561 |
| Commit con issue critica | < 0,1 % |
| Riduzione del rumore (caso migliore) | -84 % |
| Riduzione severità sovra-riportata | -90 % |
| Riduzione falsi positivi | -50 %+ |
Risultati della beta Codex Security su 30 giorni
Il rapporto di < 0,1 % di commit con issue critiche è il numero chiave. Dimostra che l'agente è capace di identificare problemi reali in grandi volumi di codice senza sommergere i reviewer.
14 CVE scoperti in importanti progetti open source
Forse l'argomento più convincente. OpenAI ha usato Codex Security per scansionare i repository open source da cui dipendono i propri sistemi. Il risultato: 14 CVE assegnati in progetti critici come OpenSSH, GnuTLS, GOGS, Chromium, PHP e libssh.
- GnuTLS: Heap-Buffer Overflow (CVE-2025-32990), Heap Buffer Overread (CVE-2025-32989), Double-Free (CVE-2025-32988)
- GOGS: Bypass autenticazione 2FA (CVE-2025-64175), bypass non autenticato (CVE-2026-25242)
- GnuPG/gpg-agent: Stack buffer overflow via PKDECRYPT (CVE-2026-24881, CVE-2026-24882)
- Thorium: Path traversal, LDAP injection, DoS, sessione non ruotata, verifica TLS disabilitata (5 CVE)
- GnuPG: CMS/PKCS7 buffer overflow (CVE-2025-15467), PKCS#12 MAC bypass (CVE-2025-11187)
OpenAI ha lanciato Codex for OSS, un programma che offre account ChatGPT Pro e Plus gratuiti, code review e accesso a Codex Security ai maintainer open source. Il progetto vLLM lo usa già nel suo workflow abituale.
Da Aardvark a Codex Security: una beta che ha dato i suoi frutti
Precedentemente noto come Aardvark, il progetto è iniziato l'anno scorso come beta privata con un piccolo gruppo di clienti. Nel deployment interno di OpenAI, l'agente ha rilevato una SSRF reale, una vulnerabilità critica di autenticazione cross-tenant e diversi altri problemi che il team di sicurezza ha corretto in poche ore.
| Miglioramento in beta | Dettaglio |
|---|---|
| Riduzione del rumore | Fino a -84 % sullo stesso repository |
| Severità sovra-riportata | Ridotta di oltre il 90 % |
| Falsi positivi | Ridotti di oltre il 50 % su tutti i repository |
Miglioramenti misurati durante la beta di Codex Security
“I risultati erano impressionanti per chiarezza e completezza, spesso dando la sensazione che un ricercatore di sicurezza esperto stesse lavorando al nostro fianco.”
Disponibilità e prezzi
Codex Security viene distribuito in research preview da oggi per i clienti ChatGPT Enterprise, Business ed Edu tramite Codex web.
Codex Security di fronte alla concorrenza
Il mercato della sicurezza applicativa assistita dall'IA è in piena esplosione. Attori come [Aikido Security](https://aikido.dev) offrono già piattaforme di sicurezza developer-first con rilevamento di vulnerabilità, analisi delle dipendenze e remediation guidata. GitHub ha integrato funzionalità di sicurezza avanzate in GitHub Copilot e Advanced Security. Snyk, SonarQube e altri veterani del settore aggiungono progressivamente strati di IA ai loro strumenti esistenti.
Ciò che distingue Codex Security è l'approccio modello di minaccia contestuale + validazione sandbox. La maggior parte degli strumenti concorrenti funziona per pattern matching sul codice sorgente — cercano firme di vulnerabilità note. Codex Security costruisce prima una comprensione del sistema, poi cerca le falle nel contesto. È la differenza tra uno scanner di sicurezza e un pentester umano che comprende la tua architettura.
La vera domanda sarà la precisione su larga scala. I numeri della beta sono incoraggianti, ma riguardano un gruppo ristretto di tester. Il vero test arriverà quando migliaia di team lo useranno su basi di codice molto diverse.
Cosa cambia per i team di sviluppo
Per i team che già usano l'ecosistema OpenAI — ChatGPT Enterprise per la produttività, OpenAI Codex per lo sviluppo — Codex Security si integra come uno strato naturale nella pipeline. L'idea di un agente che comprende il tuo codice, identifica i rischi reali e propone fix pronti per la review è attraente.
La sicurezza applicativa è sempre stata la cenerentola del ciclo di sviluppo: troppo lenta, troppo rumorosa, troppo scollegata dal contesto. Se Codex Security mantiene le sue promesse — scoperte ad alta fiducia con patch azionabili — potrebbe trasformare la sicurezza da un freno in un acceleratore. È esattamente ciò di cui hanno bisogno i team che programmano con Claude, Cursor o GitHub Copilot per mantenere il ritmo senza sacrificare la sicurezza.
Strumenti menzionati in questo articolo
Fonti e riferimenti
Fonti ufficiali:
- OpenAI - Introducing Codex Security - openai.com
- OpenAI Codex Documentation - platform.openai.com
Scopri le nostre schede dettagliate:
Segui le novità IA
Ricevi gli ultimi aggiornamenti sugli strumenti IA di sicurezza e sviluppo.
Niente spam. Cancellazione in 1 clic.
