Scopri anche

• L'AI nella sicurezza del software: tra scoperta di vulnerabilità e nuovi rischi
• Stack Overflow e l'impatto dell'AI: declino delle domande e trasformazione strategica
• Samsung Galaxy S26: l'intelligenza artificiale agentica diventa proattiva
• Anthropic: Claude trova 22 vulnerabilità in Firefox in due settimane
• Windows 11 KB5079473: 79 vulnerabilità corrette e nuove funzionalità nel Patch Tuesday di marzo 2026
• OpenAI, dimissioni e polemiche dopo l'accordo con il Pentagono
• Da ChatGPT agli agenti autonomi: la transizione professionale nell'era dell'intelligenza artificiale
• Claude di Anthropic scopre 22 vulnerabilità in Firefox: la collaborazione con Mozilla
• L'IA come arma a doppio taglio: l'evoluzione delle minacce cyber e le nuove strategie difensive
• ChatGPT Atlas e Google Chrome ultimi in classifica privacy: lo studio che cambia le carte
• Samsung Galaxy: patch di sicurezza febbraio 2026 e roadmap One UI 8.5
• Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
• iOS 26.3.1: aggiornamento di stabilità, sicurezza e compatibilità per iPhone
• ChatGPT e il panorama degli assistenti AI: modelli, alternative e strategie a confronto
• NVIDIA registra ricavi record per 39,3 miliardi nel Q4 FY2025: Blackwell traina la rivoluzione dell'AI agentic
• Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
• OpenAI conquista il Pentagono, Anthropic lancia Claude Code Security per la difesa informatica
• Anthropic e Mozilla: Claude trova 22 vulnerabilità in Firefox in due settimane
• LLM e memoria persistente: come Google e OpenAI stanno risolvendo il problema del contesto
• Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi

OpenAI lancia Codex Security: l'agente AI per la rilevazione delle vulnerabilità software

OpenAI lancia Codex Security: l'agente AI per la rilevazione delle vulnerabilità software

OpenAI ha annunciato la disponibilità in anteprima sperimentale di Codex Security, un agente di intelligenza artificiale progettato per individuare, convalidare e correggere vulnerabilità nei progetti software. Lo strumento, precedentemente noto con il nome in codice Aardvark, rappresenta un passo significativo nell'applicazione dell'AI alla sicurezza del codice, con l'obiettivo di ridurre i falsi positivi e accelerare i processi di remediation.

Come funziona Codex Security

⬆ Torna su

La caratteristica distintiva di Codex Security rispetto agli strumenti di sicurezza tradizionali risiede nel suo approccio contestuale. Dopo aver analizzato il repository del progetto, l'agente genera un modello di minaccia specifico che descrive il funzionamento dell'applicazione, i componenti fidati e le aree più esposte ai rischi. Questo documento può essere modificato dagli sviluppatori per mantenere l'analisi allineata con l'architettura reale del sistema.

Utilizzando il modello di minaccia come riferimento, Codex Security ricerca le vulnerabilità e ne valuta la priorità in base all'impatto sul sistema. Quando possibile, mette alla prova i risultati in ambienti isolati (sandbox) per distinguere tra problemi reali e segnalazioni irrilevanti. Con configurazioni avanzate, può validare le vulnerabilità direttamente nel contesto del sistema in esecuzione, riducendo ulteriormente il tasso di falsi positivi e generando exploit proof-of-concept funzionanti per confermare le vulnerabilità stesse.

Una volta individuata la vulnerabilità, l'agente propone patch coerenti con il comportamento del sistema. Questo approccio riduce il rischio di regressioni e rende le correzioni più semplici da revisionare e integrare nel codice. Nel tempo, il sistema apprende dal feedback degli utenti: quando un team modifica la criticità di una segnalazione, l'agente utilizza queste informazioni per migliorare le analisi successive.

I risultati della fase beta

⬆ Torna su

Durante i primi trenta giorni di attività, la versione beta di Codex Security ha analizzato oltre 1,2 milioni di commit in repository esterni appartenenti alla coorte beta. In questo periodo ha individuato 792 risultati critici e 10.561 vulnerabilità ad alta gravità. I problemi più critici sono comparsi in meno dello 0,1% dei commit analizzati, dimostrando la capacità del sistema di identificare le vulnerabilità rilevanti riducendo al minimo il rumore nelle revisioni.

Le misurazioni interne indicano miglioramenti significativi nella qualità dei risultati: in alcuni repository, il "rumore" delle segnalazioni è stato ridotto dell'84% rispetto al lancio iniziale. Il tasso di vulnerabilità con gravità sovrastimata è diminuito di oltre il 90% e i falsi positivi si sono ridotti di più del 50%. Questi dati confermano l'efficacia dell'approccio contestuale nel filtrare le segnalazioni poco rilevanti.

Vulnerabilità scoperte in progetti open source

⬆ Torna su

OpenAI ha utilizzato Codex Security anche per analizzare numerosi repository open source da cui dipendono molti sistemi moderni. I risultati più importanti sono stati condivisi direttamente con i maintainer dei progetti. Durante queste collaborazioni sono state segnalate vulnerabilità critiche in progetti ampiamente utilizzati, tra cui OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP e Chromium. In totale sono state assegnate quattordici CVE.

Durante le analisi è emerso un problema ricorrente: gli sviluppatori open source ricevono spesso troppe segnalazioni di vulnerabilità, molte delle quali di scarsa qualità. Codex Security è stato progettato per privilegiare poche segnalazioni ad alta affidabilità, facilitando interventi rapidi senza aumentare il carico di lavoro dei maintainer.

Il programma Codex for OSS

⬆ Torna su

Per rafforzare il supporto alla comunità open source, OpenAI ha avviato il programma Codex for OSS, che offre ai maintainer account gratuiti ChatGPT Pro e Plus, strumenti di revisione del codice e accesso a Codex Security. Alcuni progetti, come vLLM, hanno già iniziato a utilizzare l'agente all'interno dei loro normali flussi di lavoro per individuare e correggere vulnerabilità. OpenAI prevede di espandere il programma nelle prossime settimane per consentire a un numero maggiore di sviluppatori di accedere agli strumenti di sicurezza.

Il contesto competitivo

⬆ Torna su

Il lancio di Codex Security segue di poco l'annuncio di Claude Code Security di Anthropic. Il mercato degli strumenti di auditing del codice basati sull'intelligenza artificiale si sta rapidamente muovendo verso un modello in cui il sistema non solo identifica i rischi, ma aiuta anche a dimostrare l'esistenza del problema e a predisporre una soluzione. Claude Code Security si distingue per un approccio dichiaratamente "context-aware": non si limita alla static code analysis tradizionale basata su regole e pattern, ma tenta di modellare le interazioni tra componenti applicative e i flussi dati, replicando il ragionamento di un security researcher.

Amazon utilizza già agenti interni per l'individuazione automatica di flaw e la generazione di fix suggeriti. Microsoft ha implementato una rete di agenti per la prioritizzazione delle remediation e l'automazione dei processi di patching, mentre Google ha presentato Big Sleep, strumento basato su LLM capace di identificare vulnerabilità di memory safety prima del rilascio ufficiale del codice.

L'architettura tecnica sottostante

⬆ Torna su

Secondo quanto riportato dalle fonti, l'architettura GPT-5.3-Codex supporta le capacità agentiche del sistema. Questo modello è stato ottimizzato specificamente per flussi di lavoro a lunga durata, garantendo non solo una maggiore accuratezza nel ragionamento software, ma anche una velocità di esecuzione significativamente superiore, stimata fino a 15 volte più rapida su routine specifiche rispetto alle versioni precedenti. Il modello dimostra inoltre una migliore proficiency multi-linguaggio e una maggiore cybersecurity awareness, essendo capace di identificare vulnerabilità durante la generazione del codice.

OpenAI ha classificato questo modello come "High capability" per la cybersecurity, seguendo i criteri del proprio Preparedness Framework. A differenza dei modelli precedenti, GPT-5.3-Codex è stato addestrato direttamente per identificare e correggere le vulnerabilità del software. Parallelamente, l'azienda ha lanciato Trusted Access for Cyber, un programma pilota che mette a disposizione 10 milioni di dollari in crediti API per supportare ricercatori e progetti open-source, con l'obiettivo di accelerare lo sviluppo di difese informatiche e proteggere le infrastrutture critiche.

Disponibilità e accesso

⬆ Torna su

Codex Security sarà distribuito ai clienti ChatGPT Enterprise, Business ed Edu tramite la piattaforma Codex web, con un periodo di utilizzo gratuito esteso per il primo mese. L'accesso verrà esteso progressivamente nei prossimi giorni. Secondo le informazioni disponibili, l'accesso all'app è stato esteso anche ai piani ChatGPT Free e Go, seppur con rate limit differenziati, mentre gli abbonati a pagamento beneficiano di limiti raddoppiati.

La sincronizzazione della cronologia delle sessioni e delle configurazioni tra Mac, Windows, CLI e IDE assicura che il contesto rimanga intatto indipendentemente dalla piattaforma utilizzata, facilitando l'adozione di Codex come infrastruttura di produzione cross-platform. Un elemento che accomuna tutte le soluzioni di sicurezza AI-driven è l'intervento umano come passaggio imprescindibile: nessuna patch viene applicata automaticamente senza validazione da parte di uno sviluppatore o di un team di sicurezza.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

L'introduzione di agenti per la sicurezza del codice come Codex Security potrebbe ridefinire i flussi di lavoro nei team di sviluppo, riducendo il divario tra individuazione e correzione delle vulnerabilità. L'approccio contestuale, che genera modelli di minaccia specifici per progetto, rappresenta un cambio di paradigma rispetto alla static code analysis tradizionale.

• Scenario 1: L'adozione su larga scala di agenti di sicurezza potrebbe ridurre drasticamente il carico di lavoro dei maintainer open source, che attualmente devono filtrare numerose segnalazioni di bassa qualità.
• Scenario 2: La competizione con Claude Code Security, Amazon e Microsoft potrebbe accelerare l'integrazione di capacità agentiche nei flussi CI/CD, con standard comuni per la validazione automatizzata.
• Scenario 3: L'estensione dell'accesso anche ai piani gratuiti potrebbe democratizzare gli strumenti di sicurezza avanzata, pur con limiti differziati che potrebbero incentivare l'adozione di piani a pagamento.

Cosa monitorare

⬆ Torna su

• L'effettiva riduzione dei falsi positivi nei diversi contesti applicativi e linguaggi di programmazione
• Le nuove CVE assegnate e le tempistiche di remediation nei progetti open source aderenti al programma Codex for OSS
• Le risposte competitive di Anthropic, Amazon, Microsoft e Google in termini di funzionalità e modelli di accesso

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.ai4business.it/intelligenza-artificiale/coding/codex-security-lagente-ai-per-la-sicurezza-del-codice-in-anteprima-sperimentale/
• https://www.redhotcyber.com/post/openai-lancia-codex-security-10-561-bug-di-sicurezza-scoperti-in-30-giorni/
• https://www.mrw.it/news/openai-codex-security-lagente-ai-che-identifica-le-vulnerabilita-nel-software/
• https://reccom.org/codex-rivoluzione-agenti-autonomi-programmazione/
• https://www.punto-informatico.it/openai-codex-security-agente-ai-trova-bug-software/
• https://www.digitalworlditalia.it/tecnologie-emergenti/intelligenza-artificiale/le-nuove-funzioni-di-claude-per-sicurezza-e-cobol-affossano-le-azioni-di-ibm-tool-cyber-e-consulenti-178073
• https://www.libero.it/tecnologia/gpt-5-3-codex-nuovo-agente-open-ai-112220