OpenAI lanza Codex Security: IA para detectar y corregir vulnerabilidades

La ciberseguridad continúa evolucionando rápidamente impulsada por la inteligencia artificial. En este contexto, OpenAI anunció el lanzamiento de Codex Security, un agente de seguridad basado en IA diseñado para detectar, validar y proponer soluciones para vulnerabilidades en proyectos de software.

La nueva herramienta fue desplegada inicialmente el viernes en fase de vista previa de investigación, permitiendo a desarrolladores y equipos de seguridad evaluar su funcionamiento en entornos reales. Actualmente, Codex Security está disponible para clientes de ChatGPT en los planes Pro, Enterprise, Business y Edu, a través de la plataforma web de Codex. Como incentivo inicial, la compañía ofrece uso gratuito durante el primer mes, facilitando la adopción temprana de esta tecnología.

Este lanzamiento marca un paso importante hacia la automatización avanzada de la seguridad de aplicaciones, permitiendo analizar grandes repositorios de código y detectar fallos complejos que muchas herramientas tradicionales no logran identificar.

Un nuevo enfoque de seguridad basado en IA

Según OpenAI, Codex Security está diseñado para comprender profundamente el contexto de cada proyecto, lo que le permite identificar vulnerabilidades sofisticadas que otras herramientas automatizadas pueden pasar por alto.

La compañía explicó que el agente es capaz de:

• Construir un modelo contextual del sistema y su arquitectura.
• Identificar vulnerabilidades potenciales en el código fuente.
• Validar automáticamente los hallazgos para reducir falsos positivos.
• Proponer correcciones prácticas y listas para implementar.

CitarEn palabras de la empresa, Codex Security puede:

"Construir un contexto profundo sobre tu proyecto para identificar vulnerabilidades complejas que otras herramientas agenticas pasan por alto, generando hallazgos de mayor confianza con correcciones que mejoran significativamente la seguridad del sistema".

Esta capacidad permite filtrar el ruido de errores insignificantes, uno de los problemas más comunes en herramientas tradicionales de análisis estático.

Evolución del proyecto Aardvark

Codex Security no surge de cero. La herramienta representa una evolución directa del proyecto Aardvark, que OpenAI presentó en beta privada en octubre de 2025.

Aardvark fue diseñado originalmente como un sistema experimental para ayudar a desarrolladores y equipos de seguridad a detectar vulnerabilidades a gran escala en repositorios de código.

Con el paso de los meses, la tecnología fue perfeccionándose hasta convertirse en Codex Security, que ahora integra:

• Modelos de IA de última generación
• Capacidades avanzadas de razonamiento
• Validaciones automatizadas
• Simulación de vulnerabilidades en entornos sandbox

Este enfoque permite que la herramienta no solo identifique problemas, sino que también demuestre su explotabilidad antes de alertar al equipo de seguridad.

Resultados de la beta: más de 1,2 millones de commits analizados

Durante los últimos 30 días de pruebas beta, Codex Security analizó más de 1,2 millones de commits en repositorios externos, demostrando su capacidad para operar a gran escala.

Los resultados obtenidos muestran el potencial de la IA aplicada a la seguridad del software:

• 792 hallazgos críticos
• 10.561 vulnerabilidades de alta gravedad

Entre los proyectos analizados se encuentran importantes iniciativas de software de código abierto, incluyendo:

• OpenSSH
• GnuTLS
• Gogs
• libssh
• PHP
• Chromium

Estas investigaciones permitieron descubrir diversas vulnerabilidades identificadas posteriormente como CVE, entre ellas:

Vulnerabilidades destacadas

GnuPG

• CVE-2026-24881
• CVE-2026-24882

GnuTLS

• CVE-2025-32988
• CVE-2025-32989

GOGS

• CVE-2025-64175
• CVE-2026-25242

Torio

• CVE-2025-35430
• CVE-2025-35431
• CVE-2025-35432
• CVE-2025-35433
• CVE-2025-35434
• CVE-2025-35435
• CVE-2025-35436

Estos hallazgos demuestran cómo los agentes de IA pueden analizar millones de líneas de código y detectar vulnerabilidades críticas que podrían pasar desapercibidas durante auditorías manuales.

Cómo funciona Codex Security

El agente de seguridad de OpenAI utiliza un proceso de tres etapas diseñado para maximizar la precisión de los hallazgos y reducir falsos positivos.

1. Análisis del repositorio y modelado de amenazas

En primer lugar, Codex Security analiza el repositorio para comprender la estructura del sistema y su arquitectura de seguridad.

A partir de este análisis, genera un modelo de amenazas editable que describe:

• Qué hace el sistema
• Qué componentes son críticos
• Dónde existen posibles puntos de exposición

Este modelo sirve como base para todo el análisis posterior.

2. Identificación y validación de vulnerabilidades

Una vez construido el contexto del sistema, el agente utiliza esa información para identificar vulnerabilidades potenciales y evaluar su impacto real.

Cada hallazgo es sometido a pruebas de presión en un entorno sandbox, lo que permite validar si el fallo es realmente explotable.

CitarSegún OpenAI, cuando Codex Security se configura con un entorno adaptado al proyecto:

"Puede validar problemas directamente en el contexto del sistema en ejecución".

Este enfoque permite:

• Reducir significativamente los falsos positivos
• Generar pruebas de concepto funcionales (PoC)
• Proporcionar evidencia técnica sólida para los equipos de seguridad

3. Propuesta de soluciones y remediación

En la etapa final, el agente genera soluciones y parches sugeridos alineados con el comportamiento del sistema.

Esto permite:

• Reducir el riesgo de regresiones
• Facilitar la revisión por parte de desarrolladores
• Acelerar el despliegue de correcciones

De esta manera, Codex Security se posiciona no solo como una herramienta de detección, sino también como un asistente completo de remediación de vulnerabilidades.

Reducción significativa de falsos positivos

Uno de los mayores desafíos en herramientas de seguridad automatizadas es la gran cantidad de falsos positivos, que generan alertas innecesarias y ralentizan el trabajo de los equipos de seguridad.

OpenAI asegura que Codex Security aborda este problema mediante:

• Comprensión contextual del sistema
• Validación automática de hallazgos
• Simulación de ataques en sandbox

Los análisis realizados por la compañía muestran una reducción de más del 50 % en las tasas de falsos positivos en todos los repositorios analizados.

Esto mejora notablemente la relación señal-ruido, permitiendo que los analistas se concentren únicamente en vulnerabilidades relevantes.

Competencia creciente en seguridad impulsada por IA


El lanzamiento de Codex Security llega en un momento en el que múltiples empresas están desarrollando herramientas de seguridad basadas en inteligencia artificial.

Recientemente, Anthropic presentó Claude Code Security, una herramienta diseñada para analizar bases de código en busca de vulnerabilidades y sugerir parches de seguridad.

Este movimiento confirma una tendencia clara: la automatización de auditorías de seguridad mediante IA está transformando el desarrollo seguro de software.

El futuro de la ciberseguridad con agentes de IA

La llegada de Codex Security marca un cambio significativo en la forma en que se abordan las vulnerabilidades de software. En lugar de depender exclusivamente de análisis manuales o herramientas estáticas tradicionales, los equipos de seguridad pueden ahora aprovechar agentes inteligentes capaces de comprender sistemas completos y validar vulnerabilidades en tiempo real.

Si la tecnología continúa evolucionando, herramientas como Codex Security podrían convertirse en componentes esenciales del ciclo de desarrollo seguro (DevSecOps), permitiendo detectar fallos críticos antes de que lleguen a producción.

En un panorama donde el software se vuelve cada vez más complejo, la inteligencia artificial podría convertirse en el aliado más poderoso para defender la seguridad del código.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login