Codex Security: el agente de OpenAI que busca y valida fallas críticas en código, ahora en vista previa

OpenAI anunció el 6 de marzo de 2026 el lanzamiento en research preview de Codex Security, una herramienta dirigida a detectar, validar y proponer reparaciones para vulnerabilidades en aplicaciones.

Según la compañía, Codex Security fue desarrollada durante una beta privada (conocida anteriormente como Aardvark) y ahora se ofrece a clientes de ChatGPT Pro, Enterprise, Business y Edu a través de Codex web, con uso gratuito durante el primer mes.

Qué es Codex Security y cómo funciona

Codex Security es descrito por OpenAI como un “agente de seguridad de aplicaciones” que combina los modelos de vanguardia de la compañía con el Codex agent para analizar proyectos de software con contexto específico del sistema.

En términos sencillos: usa modelos avanzados (a veces llamados LLM o “modelos de lenguaje a gran escala”) y un agente —un programa que puede realizar tareas y tomar decisiones en varios pasos— para entender el código, buscar problemas y proponer soluciones.

El proceso operativo, según la nota oficial, tiene tres etapas principales:

1. Construir contexto y crear un threat model editable: la herramienta analiza el repositorio para mapear la estructura relevante de seguridad del proyecto (qué hace, en qué confía y dónde está expuesto) y genera un modelo de amenazas que los equipos pueden ajustar.
2. Priorizar y validar hallazgos: con ese contexto, busca vulnerabilidades y las categoriza según el impacto real esperado. Cuando es posible, las somete a pruebas en entornos sandbox para distinguir hallazgos confiables de falsos positivos; si está configurada con un entorno del proyecto, puede validar problemas en el sistema en ejecución y generar pruebas de concepto.
3. Proponer parches con contexto completo: Codex Security sugiere correcciones que respetan la intención y el comportamiento circundante del sistema, con el objetivo de minimizar regresiones y que las correcciones sean más seguras de aceptar.

Por qué importa para empresas y proyectos de código abierto

OpenAI argumenta que muchas herramientas automatizadas generan mucho “ruido“: alertas de bajo impacto o falsos positivos que consumen tiempo de los equipos de seguridad.

Codex Security busca reducir esa carga aportando hallazgos con mayor confianza y parches accionables. En la beta interna se identificaron vulnerabilidades reales —entre ellas un SSRF y una falla crítica de autenticación entre inquilinos— que el equipo de seguridad de OpenAI corrigió en horas.

Las cifras que aporta la empresa en el comunicado muestran un uso a escala: en los últimos 30 días de la beta se escanearon más de 1.2 millones de commits en repositorios externos, detectando 792 hallazgos críticos y 10.561 de alta severidad.

OpenAI señala además mejoras en la calidad de las detecciones durante la beta: en un caso el “ruido” se redujo un 84%; la tasa de hallazgos con severidad sobre-reportada cayó más del 90%; y las tasas de falsos positivos cayeron más del 50% en todos los repositorios analizados.

Apoyo al ecosistema open source y ejemplos de vulnerabilidades

OpenAI afirma que ha usado Codex Security para escanear proyectos de código abierto que forman la base de muchos sistemas, y que ha compartido hallazgos de alto impacto con mantenedores.

Entre los proyectos citados están OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP y Chromium. La compañía lista además una serie de vulnerabilidades reportadas y CVE asignados, que incluyen desde desbordamientos de búfer y errores en verificación TLS hasta bypass de 2FA y fallas de autenticación.

La empresa también describe un programa llamado Codex for OSS para apoyar mantenedores con cuentas Pro/Plus gratuitas, revisión de código y acceso a Codex Security; proyectos como vLLM ya habrían usado la herramienta en su flujo de trabajo.

Limitaciones y objetivos declarados

OpenAI presenta a Codex Security como una herramienta que “aprende” del feedback: si un equipo ajusta la criticidad de un hallazgo, el agente puede refinar el modelo de amenazas para mejorar precisión en futuros escaneos.

La compañía enfatiza su objetivo de priorizar hallazgos de alta confianza y reducir la sobrecarga de triage para mantener un equilibrio entre automatización y relevancia práctica.

Testimonio y disponibilidad

En el comunicado aparece un testimonio de NETGEAR que valora la integración de Codex Security en su entorno de desarrollo y la claridad de sus hallazgos.

OpenAI anunció que habilitará el acceso de forma escalonada a clientes Enterprise, Business y Edu y remite a documentación técnica para la configuración.

Nota de Transparencia

Esta nota fue generada 100% con IA. La fuente fue aprobada por Diario Occidente y el contenido final fue revisado por un miembro del equipo de redacción.

🔊 El Resumen de Noticias sobre Inteligencia Artificial e Innovación Tecnológica, aquí 👇🏻

Curaduría editorial

La curaduría y revisión editorial de estas notas está a cargo de Rosa María Agudelo Ayerbe, comunicadora social y periodista, con maestría en Transformación Digital y especialización en Inteligencia Artificial.

Desde su rol como líder del equipo de innovación y transformación digital del Diario Occidente, y a través de la unidad estratégica DO Tech, realiza un seguimiento permanente a las principales novedades en tecnología e inteligencia artificial a nivel global.

Estas notas se apoyan en un agente de investigación basado en inteligencia artificial, diseñado para monitorear semanalmente avances, lanzamientos y debates clave del sector.

El contenido es posteriormente leído, analizado, contextualizado y validado editorialmente antes de su publicación.

Este proceso forma parte del mecanismo de actualización continua que permite interpretar los desarrollos tecnológicos desde una mirada periodística, crítica y comprensible para audiencias no especializadas.

Comments