OpenAI lance Codex Security, un agent de sécurité applicative conçu pour identifier, valider et corriger automatiquement les vulnérabilités dans les bases de code. L'outil analyse d'abord l'architecture d'un dépôt pour construire un modèle de menace contextuel, puis recherche les failles, les valide en environnement isolé et propose des correctifs alignés sur le comportement du système.
La publication de code assistée par IA crée mécaniquement un nouveau défi pour les équipes sécurité. Une analyse publiée en 2025 portant sur 80 tâches de codage réparties entre plus de 100 grands modèles de langage établit que le code généré par IA introduit des vulnérabilités dans 45 % des cas. Dans ce contexte, OpenAI positionne Codex Security comme un outil de détection aval, conçu pour traiter le volume sans dégrader la précision.
Anciennement baptisé Aardvark, le nouvel agent de sécurité est entré en bêta privée en octobre 2025, et s'appuie sur les modèles frontier d'OpenAI combinés à un système de validation automatisée. En 30 jours de bêta, il a analysé plus de 1,2 million de commits et identifié 792 résultats critiques dans des projets open source majeurs dont OpenSSH, Chromium et GnuTLS. Il est disponible en préversion de recherche depuis le 6 mars 2026 pour les clients ChatGPT Pro, Enterprise, Business et Edu, avec un mois d'accès gratuit. Son déploiement survient dans une dynamique de marché où Anthropic a lui aussi lancé Claude Code Security le mois précédent, un mouvement qui a pesé sur les cours boursiers des éditeurs de solutions de cybersécurité traditionnelles.
Un modèle contextuel pour réduire les faux positifs
La différenciation technique fondamentale de Codex Security réside dans sa phase d'initialisation. Avant toute recherche de vulnérabilité, l'agent analyse l'architecture du dépôt pour construire un modèle de menace propre au projet : ce que le système fait, ce qu'il suppose comme sources de confiance, et ses surfaces d'exposition maximale. Ce modèle est éditable, ce qui permet aux équipes de l'aligner sur leurs contraintes architecturales spécifiques.
En bêta, cette approche contextuelle a produit des résultats probant selon les chiffres fournis par l’éditeur. OpenAI indique une réduction de 84 % du bruit global d'alerte, une baisse de 90 % des faux positifs liés à des sévérités surévaluées, et une chute de plus de 50 % du taux de faux positifs global. Ces chiffres répondent directement à la critique récurrente des équipes SOC vis-à-vis des outils d'analyse statique classiques, qui génèrent un volume d'alertes difficile à prioriser.
L'agent intègre également un mécanisme d'apprentissage adaptatif. Lorsqu'un analyste modifie la criticité d'un résultat, Codex Security utilise ce retour pour affiner son modèle de menace et améliorer la précision des analyses ultérieures sur le même dépôt. Ce comportement réduit théoriquement le coût de calibration dans le temps, mais il suppose une interaction régulière des équipes avec l'outil.
Validation en environnement isolé et preuves de concept
Une fois les vulnérabilités identifiées, Codex Security les soumet à une phase de validation dans un bac à sable isolée. Lorsque le projet est configuré avec un environnement d'exécution adapté, l'agent peut générer des preuves de concept fonctionnelles, c'est-à-dire des exploits opérationnels permettant de confirmer l'exploitabilité réelle de la faille avant qu'elle ne soit remontée à l'équipe sécurité.
Cette capacité est décisive pour les RSSI. Un faux positif écarté en phase de validation représente du temps économisé en triage. Une preuve de concept documentée, en revanche, accélère la priorisation et renforce l'argumentaire interne pour une correction rapide. Sur le plus de 1,2 million de commits sur des dépôts externes, l’agent a identifié 792 résultats critiques et 10 561 résultats de haute sévérité. Les vulnérabilités critiques représentent moins de 0,1 % des commits analysés, ce qui illustre la sélectivité du filtre.
Quatorze CVE attribuées sur des logiciels libres
OpenAI a utilisé Codex Security pour auditer des projets open source qu'il utilise lui-même en production. Cette démarche a conduit à l'attribution de 14 CVE sur des logiciels aussi répandus qu'OpenSSH, GnuTLS, PHP, Chromium, GOGS, Thorium et libssh. Parmi les failles identifiées figurent un débordement de tampon dans GnuTLS (CVE-2025-32990), un double-free dans le même composant (CVE-2025-32988), et plusieurs vulnérabilités dans GOGS dont un contournement de l'authentification à deux facteurs (CVE-2025-64175) et une traversée de chemin permettant une écriture arbitraire (CVE-2025-35430).
Les retours des mainteneurs de projets open source, tels que rapportés par OpenAI, convergent sur un point : la difficulté n'est pas l'absence de signalements, mais l'excès de rapports de faible qualité. Ce constat a orienté les choix de conception de Codex Security vers la précision plutôt que le volume, au détriment d'une couverture exhaustive.
En parallèle du lancement, OpenAI a annoncé le programme Codex for OSS, qui propose aux mainteneurs de projets open source un accès gratuit à ChatGPT Pro, aux outils de revue de code et à Codex Security. Un premier groupe de mainteneurs a déjà été intégré ; le programme sera étendu dans les prochaines semaines.
Limites d'accès et absence de tarification post-essai
La préversion de Codex Security présente plusieurs contraintes que les entreprises devront évaluer avant tout déploiement étendu. L'outil fonctionne via l'interface Codex web, sans intégration API documentée, ce qui peut limiter l'adoption par les équipes disposant de pipelines d'automatisation sécurité existants.
La qualité du modèle de menace initial dépend directement de la structuration du dépôt et du niveau de contexte fourni lors de la configuration. Les capacités de validation approfondie, notamment la génération de preuves de concept, requièrent la configuration d'un environnement d'exécution propre au projet, ce qui représente une charge de mise en œuvre non négligeable pour les structures sans équipe sécurité dédiée.
OpenAI n'a pas communiqué de grille tarifaire pour la période suivant le mois d'accès gratuit, ni précisé quel modèle frontier alimente le raisonnement de l'agent. Ces deux points constituent des inconnues importantes pour toute entreprises qui envisagerait d'intégrer Codex Security à son outillage sécurité applicative à moyen terme.
