Mientras los desarrolladores dormían, la IA descubrió 10.000 vulnerabilidades en sus proyectos. ¿Quién las va a arreglar?
OpenAI lanza al mercado su controlador autónomo estrella
OpenAI presentó Codex Security — un agente de IA para la búsqueda, verificación y corrección de vulnerabilidades en proyectos de software. El nuevo instrumento ya se lanzó en formato de vista previa para investigación a través de la versión web de Codex para clientes ChatGPT Pro, Enterprise, Business y Edu. Durante el próximo mes se promete acceso sin coste adicional.
Codex Security surgió del proyecto Aardvark, que OpenAI lanzó en versión beta cerrada en el otoño de 2025 para la búsqueda a gran escala de problemas de seguridad. Ahora la empresa da el siguiente paso y presenta el sistema como un producto más maduro para equipos DevSecOps y desarrolladores.
Según OpenAI, en los últimos 30 días la versión beta de Codex Security analizó más de 1,2 millones de commits en repositorios externos y detectó 792 problemas de riesgo crítico, así como 10 561 vulnerabilidades de alta gravedad. Entre los proyectos afectados la empresa enumeró OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP y Chromium. En la lista también se incluyeron varios CVE ya registrados para GnuPG, GnuTLS, GOGS y Thorium.
En OpenAI afirman que el nuevo agente utiliza las capacidades de razonamiento de los modelos principales junto con la verificación automática de los problemas encontrados. Ese enfoque debería reducir el número de falsos positivos y ofrecer no consejos abstractos, sino correcciones listas para aplicar. Según las mediciones internas de la compañía, la precisión de la verificación ha mejorado con el tiempo y el nivel de falsas alarmas en todos los repositorios se redujo en más del 50%.
El funcionamiento de Codex Security se articula en tres etapas. Primero, el sistema analiza el repositorio, identifica las partes del proyecto relevantes para la seguridad y genera un modelo de amenazas editable. A continuación, el agente busca puntos débiles, evalúa el posible daño en condiciones reales y además verifica los hallazgos en un entorno aislado. En la etapa final, el servicio propone opciones de corrección teniendo en cuenta el comportamiento del sistema, para reducir el riesgo de fallos colaterales y facilitar la verificación de los cambios antes del despliegue.
OpenAI destaca además que, al configurar el entorno para un proyecto concreto, Codex Security puede comprobar posibles problemas directamente en el contexto de un sistema en funcionamiento. Según la compañía, ese modo reduce aún más la proporción de señales erróneas y ayuda a generar PoC de explotación para confirmar la vulnerabilidad.
El lanzamiento de Codex Security se produjo poco después de la salida de Claude Code Security por Anthropic. El mercado de herramientas de IA para auditoría de código avanza rápidamente hacia un modelo en el que el sistema no solo indica el riesgo, sino que también ayuda a demostrar la existencia del problema y a preparar la corrección.