OpenAI comenzó a implementarse el viernes Seguridad del Códiceun agente de seguridad impulsado por inteligencia artificial (IA) diseñado para encontrar, validar y proponer soluciones a vulnerabilidades.

La función está disponible en una vista previa de la investigación para los clientes de ChatGPT Pro, Enterprise, Business y Edu a través de la web del Codex con uso gratuito durante el próximo mes.

«Crea un contexto profundo sobre su proyecto para identificar vulnerabilidades complejas que otras herramientas agentes pasan por alto, lo que muestra hallazgos de mayor confianza con correcciones que mejoran significativamente la seguridad de su sistema y le evitan el ruido de errores insignificantes», dijo la compañía. dicho.

Codex Security representa una evolución de Aardvark⁠, que OpenAI presentó en versión beta privada en octubre de 2025 como una forma para que los desarrolladores y equipos de seguridad detecten y corrijan vulnerabilidades de seguridad a escala.

Durante los últimos 30 días, Codex Security ha escaneado más de 1,2 millones de confirmaciones en repositorios externos durante el transcurso de la versión beta, identificando 792 hallazgos críticos y 10,561 hallazgos de alta gravedad. Estos incluyen vulnerabilidades en varios proyectos de código abierto como OpenSSH⁠, GnuTLS⁠, GOGS⁠, Thorium⁠, libssh, PHP y Chromium, entre otros. Algunos de ellos se enumeran a continuación:

• GnuPG-CVE-2026-24881, CVE-2026-24882
• GnuTLS: CVE-2025-32988, CVE-2025-32989
• GOGS-CVE-2025-64175, CVE-2026-25242
• Torio – CVE-2025-35430, CVE-2025-35431, CVE-2025-35432, CVE-2025-35433, CVE-2025-35434, CVE-2025-35435, CVE-2025-35436

Según la empresa de inteligencia artificial, la última versión del agente de seguridad de aplicaciones aprovecha las capacidades de razonamiento de sus modelos de frontera y las combina con validación automatizada para minimizar el riesgo de falsos positivos y ofrecer soluciones prácticas.

Los escaneos de OpenAI en los mismos repositorios a lo largo del tiempo han demostrado una precisión cada vez mayor y una disminución de las tasas de falsos positivos, cayendo estas últimas en más del 50% en todos los repositorios.

En una declaración compartida con The Hacker News, OpenAI dijo que Codex Security está diseñado para mejorar la relación señal-ruido al conectar el descubrimiento de vulnerabilidades en el contexto del sistema y validar los hallazgos antes de mostrárselos a los usuarios.

Específicamente, el agente trabaja en tres pasos: analiza un repositorio para controlar la estructura del sistema relevante para la seguridad del proyecto y genera un modelo de amenaza editable que captura lo que hace y dónde está más expuesto.

Una vez creado el contexto del sistema, Codex Security lo utiliza como base para identificar vulnerabilidades y clasifica los hallazgos en función de su impacto en el mundo real. Los problemas marcados se someten a pruebas de presión en un entorno aislado para validarlos.

«Cuando Codex Security se configura con un entorno adaptado a su proyecto, puede validar problemas potenciales directamente en el contexto del sistema en ejecución», dijo OpenAI. «Esa validación más profunda puede reducir aún más los falsos positivos y permitir la creación de pruebas de concepto funcionales, brindando a los equipos de seguridad evidencia más sólida y un camino más claro hacia la remediación».

La etapa final implica que el agente proponga las soluciones que mejor se alineen con el comportamiento del sistema para reducir las regresiones y hacerlas más fáciles de revisar e implementar.

Las noticias sobre Codex Security llegan semanas después de que Anthropic lanzara Claude Code Security para ayudar a los usuarios a escanear una base de código de software en busca de vulnerabilidades y sugerir parches.

Anthropic el viernes lo dijo descubierto 22 nuevas vulnerabilidades de seguridad en el navegador web Firefox como parte de una asociación de seguridad con Mozilla.

De estos, 14 se han clasificado como graves, siete se han clasificado como moderados y uno se ha clasificado como de gravedad baja. Los temas fueron abordados en Firefox 148lanzado a fines del mes pasado. El vulnerabilidades fueron identificados durante un período de dos semanas en enero de 2026.

La compañía de inteligencia artificial (IA) dijo que la cantidad de errores de alta gravedad identificados por su modelo de lenguaje grande (LLM) Claude Opus 4.6 representa «casi una quinta parte» de todas las vulnerabilidades de alta gravedad que se parchearon en Firefox en 2025.

Anthropic dijo que el LLM detectó un error de uso después de la liberación en el JavaScript del navegador después de «sólo» 20 minutos de exploración, que luego fue validado por un investigador humano en un entorno virtualizado para descartar la posibilidad de un falso positivo.

«Al final de este esfuerzo, habíamos escaneado casi 6.000 archivos C++ y enviado un total de 112 informes únicos, incluidas las vulnerabilidades de gravedad alta y moderada mencionadas anteriormente», dijo la compañía. «La mayoría de los problemas se han solucionado en Firefox 148, y el resto se solucionará en próximas versiones».

El advenedizo de IA dijo que también proporcionó a su modelo Claude acceso a la lista completa de vulnerabilidades enviadas a Mozilla y encargó a la herramienta de IA desarrollar un exploit práctico para ellas.

A pesar de realizar la prueba varios cientos de veces y gastar alrededor de 4.000 dólares en créditos API, la compañía dijo que Claude Opus 4.6 pudo convertir el defecto de seguridad en un exploit sólo en dos casos.

Este comportamiento, añadió la empresa, señaló dos aspectos importantes: el coste de identificar vulnerabilidades es más barato que crear un exploit para ellas, y el modelo es mejor para encontrar problemas que para explotarlos.

«Sin embargo, el hecho de que Claude pudiera desarrollar automáticamente un exploit de navegador crudo, aunque sólo sea en unos pocos casos, es preocupante», enfatizó Anthropic, añadiendo que los exploits sólo funcionaron dentro de los límites de su entorno de prueba, al que se le han eliminado intencionalmente algunas características de seguridad como el sandboxing.

Un componente crucial incorporado al proceso es un verificador de tareas para determinar si el exploit realmente funciona, brindando a la herramienta retroalimentación en tiempo real mientras explora la base de código en cuestión y permitiéndole iterar sus resultados hasta que se idee un exploit exitoso.

Una de esas hazañas que escribió Claude fue para CVE-2026-2796 (puntuación CVSS: 9,8), que ha sido descrito como una mala compilación justo a tiempo (JIT) en el componente JavaScript WebAssembly.

La divulgación se produce semanas después de que la compañía publicara Claude Code Security en una vista previa de investigación limitada como una forma de corregir vulnerabilidades utilizando un agente de inteligencia artificial.

«No podemos garantizar que todos los parches generados por agentes que pasen estas pruebas sean lo suficientemente buenos como para fusionarse inmediatamente», dijo Anthropic. «Pero los verificadores de tareas nos dan una mayor confianza en que el parche producido corregirá la vulnerabilidad específica preservando al mismo tiempo la funcionalidad del programa y, por lo tanto, alcanzará lo que se considera el requisito mínimo para un parche plausible».

Mozilla, en un anuncio coordinado, dijo que el enfoque asistido por IA ha descubierto otros 90 errores, la mayoría de los cuales han sido solucionados. Estos consistían en fallas de aserción que se superponían con problemas que tradicionalmente se encontraban mediante el fuzzing y distintas clases de errores lógicos que los fuzzers no lograban detectar.

«La escala de los hallazgos refleja el poder de combinar una ingeniería rigurosa con nuevas herramientas de análisis para una mejora continua», dijo el fabricante del navegador. dicho. «Consideramos esto como una evidencia clara de que el análisis a gran escala asistido por IA es una nueva y poderosa incorporación a la caja de herramientas de los ingenieros de seguridad».