← 返回 Blog
UseAIAPIAI API2min

Codex Security 更新:扫 3000 万 commit、50 万自动标修复,批量补丁仍需人工签但流速已变

2026 年 3 月,OpenAI 以研究预览形式推出 Codex Security 代码安全工具;时隔三个月,该工具迎来正式功能升级,累计已完成 3000 万次代码提交扫描,覆盖超 3 万个代码库,其中超 50 万项漏洞被系统自动判定为已修复。与以往侧重宣传漏洞识别能力不同,本次更新将核心关注点放在了漏洞修复环节,这一转向也释放出安全 AI 赛道演进的明确信号。

OpenAIGPT-5.5-Cyber

安全 AI 赛道能力边界持续拓展 从漏洞发现转向修复全链路提效

2026 年 3 月,OpenAI 以研究预览形式推出 Codex Security 代码安全工具;时隔三个月,该工具迎来正式功能升级,累计已完成 3000 万次代码提交扫描,覆盖超 3 万个代码库,其中超 50 万项漏洞被系统自动判定为已修复。与以往侧重宣传漏洞识别能力不同,本次更新将核心关注点放在了漏洞修复环节,这一转向也释放出安全 AI 赛道演进的明确信号。

漏洞识别效率突破 修复环节成治理瓶颈

近年来,AI 技术在网络安全领域的应用率先在漏洞识别场景落地,技术成熟度快速提升。自 Codex Security 预览版推出以来,累计完成 3000 万次代码提交扫描;专项优化的 GPT-5.5-Cyber 模型在 CyberGym 安全评测集中取得 85.6% 的得分,表现优于同类竞品。随着技术迭代,AI 发现漏洞的效率已达到较高水平,行业的核心矛盾也随之发生转移。

OpenAI 方面明确指出,当前网络安全治理的瓶颈已从 “漏洞发现” 转向 “漏洞修复”。AI 生成的漏洞报告数量快速增长,反而给本就人力紧张的维护团队带来了更重的负担。Linux 基金会与哈佛大学的联合研究显示,在 94% 的广泛应用开源项目中,不足 10 名开发者贡献了 90% 以上的代码,核心维护团队长期处于高负荷状态。面对 AI 输出的大量漏洞报告,维护人员需要耗费大量精力筛选误报、核验真实性,修复效率难以匹配发现效率,成为制约开源安全治理的新痛点。

工具流程重构 覆盖从识别到修复全链路

针对这一行业痛点,升级后的 Codex Security 对工作流进行了全链路重构,不再局限于漏洞扫描与报告输出,而是覆盖了从风险识别到补丁生成的完整流程。

具体来看,工具接入代码库后,会先分析项目的威胁模型,若项目未建立对应体系则自动完成构建;随后识别潜在安全风险,核验漏洞代码的实际可达性 —— 静态扫描识别出的大量漏洞往往不具备实际触发条件,这一步可有效过滤无效告警;确认漏洞真实存在后,在隔离沙箱中完成验证,最终生成对应修复补丁,同步附带风险严重等级、受影响代码位置、验证依据等完整信息,交付给开发者审核。

除了新增漏洞的全流程处理,该工具还支持存量漏洞的批量治理:可对接外部扫描器、安全公告、漏洞赏金报告、工单系统中的历史漏洞数据,完成分级、核验后批量生成修复方案。从 “告知风险存在” 到 “提供修复参考”,工具定位的转变,直接减少了维护人员的事务性工作量,有效缓解了修复效率不足的痛点。

数据内涵清晰拆解 自动化追踪降本提效

本次更新中,“50 万项自动判定修复” 的数据受到广泛关注,其背后的实际含义需要客观拆解,避免认知偏差。

据介绍,这 50 万项是系统通过持续监控代码库变动,自动识别出对应漏洞代码已被移除、从而标记为 “已修复” 的记录,本质是自动化的漏洞状态追踪能力,并不等同于 AI 独立提交并被合入的补丁数量。其中,经过人工审计确认、走完完整修复闭环的漏洞数量为 7 万余项。

这种自动化状态追踪能力同样具备实际业务价值:以往漏洞的修复进度跟踪需要人工逐一核对,如今 AI 可持续监测代码库的更新,自动完成漏洞状态的同步更新,大幅降低了安全运营的管理成本,让安全团队能够将精力集中在高风险问题的处理上。

人工复核保留底线 平衡效率与安全风险

值得注意的是,尽管工具已具备补丁生成与验证能力,但最终的代码合入决策权仍掌握在开发者手中,人工复核是整个流程中不可或缺的核心环节。

这并非技术层面无法实现全自动提交,而是出于安全底线的刻意设计。在 OpenAI 发起的 Patch the Planet 开源安全计划中,就明确规定所有 AI 识别的漏洞与生成的补丁,都必须经过人类安全工程师的审核后,才可提交给项目维护者。

之所以设置这一强制环节,核心原因在于 AI 生成的补丁可能存在隐性风险:比如破坏接口向后兼容性、引入新的功能回归问题、不符合项目的代码风格规范等。对于操作系统内核、编程语言核心库这类底层基础设施项目,代码改动的影响范围极广,一旦补丁出现问题,造成的影响可能远大于漏洞本身。因此,“AI 生成补丁” 与 “补丁直接合入” 之间,必须保留人工审核的安全屏障。

实战场景验证落地 补丁质量获专业认可

AI 生成补丁的工程可用性,已经在实战场景中得到验证。OpenAI 联合专业安全机构 Trail of Bits 发起的 Patch the Planet 计划,正是 Codex Security 能力的落地试验场。Trail of Bits 投入核心安全研究团队,对 19 个全球关键开源基础设施项目开展安全治理,覆盖 cURL、Python、Go 等多个底层核心工具。

首轮行动数据显示,团队累计识别数百个安全风险,提交 64 个代码合并请求,其中 37 个修复方案已被项目维护者正式合入代码主干。这批成功合入的补丁,验证的不仅是 AI 的代码生成能力,更是补丁的工程质量:它们能够通过持续集成测试、符合项目代码规范、不破坏周边业务逻辑,最终获得专业维护者的认可。这也标志着 AI 生成的补丁,已经从 “形式上正确” 迈向了 “可落地使用” 的阶段。

整体来看,Codex Security 的本次功能升级,标志着 AI 安全工具的能力边界正式从 “漏洞发现” 拓展至 “修复辅助”。3000 万次扫描覆盖、50 万项自动状态追踪、7 万项人工确认修复、37 个合入主干的补丁,几组数据串联起了安全 AI 的清晰演进路径。人工复核环节的保留,既是当前技术阶段的现实约束,也是网络安全治理的必要底线。而 AI 的核心价值,在于将安全从业者从海量筛选、代码编写、状态跟踪等事务性工作中解放出来,让人工审核从 “全面排查” 转向 “最终质量把关”,从整体上提升安全治理的效率。

对于广大企业而言,前沿 AI 技术在安全治理、研发提效、业务运营等场景的价值正不断释放。但企业自行对接、运维多类大模型,往往面临接入流程复杂、算力成本高昂、运维管理繁琐等现实问题。UseAIAPI 已完成全球多款主流前沿大模型的接入覆盖,包含 Gemini、Claude、GPT、DeepSeek 等热门产品,可提供标准化接入接口与企业级定制化服务,帮助企业快速适配不同业务场景的 AI 需求,无需耗费大量精力处理复杂的接入与运维工作。在成本层面,平台推出专属优惠政策,调用成本最低可达官方定价的 50%,能够大幅降低大流量调用、高频次使用场景下的算力支出,让企业可以更灵活地将 AI 能力融入业务全链路,专注于核心价值的落地与提升。