Un agent de sécurité pour le code
OpenAI a lancé le 7 mars 2026 Codex Security, un agent IA qui scanne les dépôts de code pour trouver, valider et corriger les vulnérabilités de sécurité. Disponible en research preview, il évolue d'Aardvark, un outil en bêta privée depuis octobre 2025.
Pendant la phase de bêta, Codex Security a analysé 1,2 million de commits et identifié 792 vulnérabilités critiques et 10 561 de haute sévérité. Les issues critiques sont apparues dans moins de 0,1 % des commits scannés.
Des CVE dans les projets majeurs
Parmi les découvertes, 14 vulnérabilités ont été suffisamment graves pour être enregistrées dans la base CVE. Les projets touchés : OpenSSH, GnuTLS, GnuPG, GOGS, PHP, Chromium, libssh et Thorium. Des noms qui touchent des centaines de millions d'utilisateurs.
Exemples de CVE attribués :
- GnuPG : CVE-2026-24881, CVE-2026-24882
- GnuTLS : CVE-2025-32988, CVE-2025-32989
- GOGS : CVE-2025-64175, CVE-2026-25242
Comment ça marche
Codex Security opère en trois étapes :
- Analyse structurelle — Le système cartographie le dépôt et construit un contexte de sécurité basé sur des threat models
- Détection — Les modèles frontier identifient les vulnérabilités potentielles, au-delà du simple pattern matching
- Validation sandbox — Chaque trouvaille est testée dans un environnement isolé pour éliminer les faux positifs
Pour les bugs confirmés, l'agent génère des preuves de concept (PoC) et propose des patches alignés avec le comportement existant du code.
Accès et pricing
Codex Security est disponible via Codex Web pour les abonnés ChatGPT Pro, Enterprise, Business et Edu, avec un mois d'utilisation gratuite. L'outil filtre les résultats par impact de sécurité et priorités d'équipe.
Claude vs Codex : la course à la cybersécurité IA
Ce lancement intervient au même moment que le partenariat Anthropic-Mozilla, où Claude Opus 4.6 a trouvé 22 failles dans Firefox. Les deux géants de l'IA convergent vers le même constat : l'audit de sécurité par IA surpasse les méthodes traditionnelles comme le fuzzing.
