A OpenAI passa à ofensiva na segurança do código. A empresa lança hoje o [Codex](https://chatgpt.com/codex) Security, um agente de segurança de aplicações que analisa em profundidade os seus repositórios de código para identificar vulnerabilidades críticas que as ferramentas clássicas não detetam. Ao contrário dos scanners tradicionais que afogam as equipas em falsos positivos, o Codex Security constrói um modelo de ameaças específico para o seu projeto antes de procurar as falhas — e propõe correções prontas para merge.
O verdadeiro problema: demasiado ruído, pouco sinal
As ferramentas de segurança IA atuais partilham um defeito fundamental: analisam o código sem compreender o sistema. O resultado? Centenas de alertas, a maioria das quais são falsos positivos ou descobertas de baixo impacto. As equipas de segurança passam mais tempo a triar ruído do que a corrigir problemas reais.
O problema agrava-se com a aceleração do desenvolvimento por agentes IA. Quando os seus programadores usam GitHub Copilot, Cursor ou OpenAI Codex para escrever código mais rápido, a revisão de segurança torna-se o gargalo crítico do pipeline. O Codex Security ataca ambos os lados da equação: reduzir o ruído para as equipas de segurança e acelerar o ciclo de validação para não travar os programadores.
Como funciona o Codex Security
1. Construção de um modelo de ameaças à medida
Após configurar um scan, o Codex Security analisa o seu repositório para compreender a estrutura de segurança do sistema. Gera um modelo de ameaças específico do projeto que captura o que o sistema faz, em que confia e onde está mais exposto. Este modelo de ameaças é editável — a sua equipa pode refiná-lo para manter o agente alinhado com a arquitetura real.
É uma mudança de abordagem radical. Em vez de scanear cegamente código à procura de padrões conhecidos, o agente compreende primeiro o contexto de negócio antes de procurar vulnerabilidades.
2. Priorização e validação em sandbox
Usando o modelo de ameaças como contexto, o Codex Security procura vulnerabilidades e categoriza as descobertas segundo o seu impacto real no sistema. Quando possível, testa as descobertas em ambientes de validação sandbox para distinguir sinal de ruído.
Quando o Codex Security está configurado com um ambiente adaptado ao seu projeto, pode validar problemas potenciais diretamente no contexto do sistema em funcionamento. Esta validação mais profunda reduz ainda mais os falsos positivos e permite a criação de provas de conceito funcionais — evidências concretas que dão às equipas de segurança uma base sólida para a remediação.
3. Correções com contexto completo do sistema
Finalmente, o Codex Security propõe correções alinhadas com a intenção do sistema e o comportamento envolvente. O objetivo: patches que melhoram a segurança minimizando regressões, tornando-os mais seguros para revisão e merge.
O agente também aprende com o seu feedback ao longo do tempo. Quando ajusta a criticidade de uma descoberta, utiliza esse feedback para refinar o modelo de ameaças e melhorar a precisão nos scans seguintes.
Números que falam por si
Nos últimos 30 dias de beta, o Codex Security escaneou mais de 1,2 milhões de commits nos repositórios dos seus testers externos:
| Métrica | Valor |
|---|---|
| Commits escaneados (30 dias) | 1,2 milhões+ |
| Descobertas críticas | 792 |
| Descobertas de alta severidade | 10.561 |
| Commits com issue crítica | < 0,1 % |
| Redução de ruído (melhor caso) | -84 % |
| Redução severidade sobre-reportada | -90 % |
| Redução falsos positivos | -50 %+ |
Resultados da beta do Codex Security em 30 dias
O rácio de < 0,1 % de commits com issues críticas é o número-chave. Demonstra que o agente é capaz de identificar problemas reais em grandes volumes de código sem sobrecarregar os revisores.
14 CVEs descobertos em projetos open source importantes
Talvez o argumento mais convincente. A OpenAI usou o Codex Security para escanear os repositórios open source dos quais os seus próprios sistemas dependem. O resultado: 14 CVEs atribuídos em projetos tão críticos como OpenSSH, GnuTLS, GOGS, Chromium, PHP e libssh.
- GnuTLS: Heap-Buffer Overflow (CVE-2025-32990), Heap Buffer Overread (CVE-2025-32989), Double-Free (CVE-2025-32988)
- GOGS: Bypass de autenticação 2FA (CVE-2025-64175), bypass não autenticado (CVE-2026-25242)
- GnuPG/gpg-agent: Stack buffer overflow via PKDECRYPT (CVE-2026-24881, CVE-2026-24882)
- Thorium: Path traversal, LDAP injection, DoS, sessão não rotacionada, verificação TLS desativada (5 CVEs)
- GnuPG: CMS/PKCS7 buffer overflow (CVE-2025-15467), PKCS#12 MAC bypass (CVE-2025-11187)
A OpenAI lançou o Codex for OSS, um programa que oferece contas gratuitas de ChatGPT Pro e Plus, revisão de código e acesso ao Codex Security para mantenedores open source. O projeto vLLM já o utiliza no seu workflow habitual.
De Aardvark a Codex Security: uma beta que deu resultados
Anteriormente conhecido como Aardvark, o projeto começou no ano passado como beta privada com um pequeno grupo de clientes. Em deployment interno na OpenAI, o agente detetou uma SSRF real, uma vulnerabilidade crítica de autenticação cross-tenant e vários outros problemas que a equipa de segurança corrigiu em poucas horas.
| Melhoria durante a beta | Detalhe |
|---|---|
| Redução de ruído | Até -84 % no mesmo repositório |
| Severidade sobre-reportada | Reduzida em mais de 90 % |
| Falsos positivos | Reduzidos em mais de 50 % em todos os repositórios |
Melhorias medidas durante a beta do Codex Security
“Os resultados foram impressionantemente claros e abrangentes, muitas vezes dando a sensação de que um investigador de segurança experiente estava a trabalhar ao nosso lado.”
Disponibilidade e preços
O Codex Security está a ser disponibilizado em research preview a partir de hoje para clientes ChatGPT Enterprise, Business e Edu via Codex web.
Codex Security face à concorrência
O mercado de segurança aplicativa assistida por IA está em plena explosão. Atores como [Aikido Security](https://aikido.dev) já oferecem plataformas de segurança developer-first com deteção de vulnerabilidades, análise de dependências e remediação guiada. O GitHub integrou funcionalidades de segurança avançadas no GitHub Copilot e Advanced Security. Snyk, SonarQube e outros veteranos do setor adicionam progressivamente camadas de IA às suas ferramentas existentes.
O que distingue o Codex Security é a abordagem modelo de ameaças contextual + validação sandbox. A maioria das ferramentas concorrentes funciona por pattern matching no código fonte — procuram assinaturas de vulnerabilidades conhecidas. O Codex Security constrói primeiro uma compreensão do sistema, depois procura as falhas em contexto. É a diferença entre um scanner de segurança e um pentester humano que compreende a sua arquitetura.
A verdadeira questão será a precisão à escala. Os números da beta são encorajadores, mas abrangem um grupo restrito de testers. O teste definitivo chegará quando milhares de equipas o utilizarem em bases de código muito diversas.
O que muda para as equipas de desenvolvimento
Para as equipas que já usam o ecossistema OpenAI — ChatGPT Enterprise para produtividade, OpenAI Codex para desenvolvimento — o Codex Security integra-se como uma camada natural no pipeline. A ideia de um agente que compreende o seu código, identifica riscos reais e propõe correções prontas para revisão é atraente.
A segurança aplicativa sempre foi o parente pobre do ciclo de desenvolvimento: demasiado lenta, demasiado ruidosa, demasiado desligada do contexto. Se o Codex Security cumprir as suas promessas — descobertas de alta confiança com patches acionáveis — poderá transformar a segurança de um travão num acelerador. É exatamente o que as equipas que programam com Claude, Cursor ou GitHub Copilot precisam para manter o ritmo sem sacrificar a segurança.
Ferramentas mencionadas neste artigo
Fontes e referências
Fontes oficiais:
- OpenAI - Introducing Codex Security - openai.com
- OpenAI Codex Documentation - platform.openai.com
Consulte as nossas fichas detalhadas:
Siga as novidades IA
Receba as últimas atualizações sobre ferramentas IA de segurança e desenvolvimento.
Sem spam. Cancele em 1 clique.
