OpenAI Codex Security — AI Nghĩ Như Hacker Để Bảo Vệ Như Chuyên Gia

Từ Aardvark Đến Codex Security

Câu chuyện của Codex Security bắt đầu từ tháng 10/2025, khi OpenAI âm thầm ra mắt bản beta riêng có tên Aardvark — một nhà nghiên cứu bảo mật AI được thiết kế để phát hiện và vá lỗ hổng ở quy mô lớn. Sau sáu tháng tinh chỉnh và kiểm thử thực tế trên các kho lưu trữ bên ngoài, Aardvark đã tiến hóa thành Codex Security, được tích hợp trực tiếp vào nền tảng Codex và ra mắt dưới dạng research preview vào ngày 6/3/2026.

Việc đổi tên không chỉ là thay đổi tên gọi — nó báo hiệu một ý định rõ ràng. Bảo mật không còn là thử nghiệm độc lập tại OpenAI. Đây là năng lực cốt lõi được tích hợp vào cùng nền tảng mà các nhà phát triển đã sử dụng hàng ngày.

Codex Security Thực Sự Làm Gì?

Codex Security được thiết kế để hoạt động như một nhà nghiên cứu bảo mật hơn là một công cụ quét truyền thống. Thay vì so khớp với các mẫu lỗ hổng đã biết, nó lý luận qua code theo cách một chuyên gia con người sẽ làm:

• Xây dựng mô hình mối đe dọa — phân tích cấu trúc repository, lập bản đồ ranh giới tin cậy và tạo mô hình mối đe dọa có thể chỉnh sửa dành riêng cho codebase của bạn
• Săn lỗ hổng — tìm kiếm các vấn đề phức tạp mà công cụ quét đơn giản bỏ sót, bao gồm cả các con đường tấn công nhiều bước
• Xác thực trong sandbox — các phát hiện tiềm năng được kiểm thử trong môi trường cách ly để loại trừ false positive trước khi báo cáo
• Đề xuất bản vá — cung cấp các bản vá có thể hành động kèm giải thích bằng ngôn ngữ tự nhiên, được xếp hạng theo mức độ nghiêm trọng và tác động thực tế

Quan trọng hơn, một khi mô hình mối đe dọa đã được tạo cho một dự án, mọi phiên Codex tiếp theo đều kế thừa ngữ cảnh bảo mật đó. Đây không phải quét một lần — đây là hạ tầng bảo mật liên tục được nhúng vào quy trình phát triển.

Con Số Beta Rất Khó Bỏ Qua

Trong giai đoạn beta, Codex Security đã quét hơn 1,2 triệu commit trên các repository bên ngoài và phát hiện 792 phát hiện nghiêm trọng và 10.561 phát hiện mức độ cao. Các vấn đề nghiêm trọng xuất hiện trong dưới 0,1% commit — tỷ lệ chính xác quan trọng trong một lĩnh vực mà alert fatigue từ false positive là khủng hoảng thực sự.

Trong số các lỗ hổng thực tế được phát hiện trong các dự án mã nguồn mở lớn:

• GnuTLS — lỗ hổng heap buffer overflow, heap buffer overread và double-free
• GOGS — bypass xác thực hai yếu tố và bypass truy cập không xác thực
• Thorium — bảy CVE riêng biệt bao gồm path traversal, LDAP injection, lỗ hổng DoS và lỗi quản lý phiên
• OpenSSH, libssh, PHP, Chromium — các phát hiện có tác động cao trong phần mềm cơ sở hạ tầng quan trọng

Đây không phải lỗ hổng lý thuyết trong codebase đồ chơi. Đây là các lỗ hổng bảo mật trong phần mềm mà hàng triệu hệ thống phụ thuộc vào hàng ngày.

Tác Động Đang Tiếp Diễn

Kể từ khi research preview ra mắt, Codex Security đã đóng góp vào hơn 3.000 lỗ hổng nghiêm trọng và mức cao đã được vá trong toàn hệ sinh thái — con số tiếp tục tăng khi ngày càng nhiều nhóm kết nối repository của họ. Hiệu ứng cộng dồn rất đáng kể: mỗi lỗ hổng được vá là một bề mặt tấn công bị loại bỏ vĩnh viễn, không chỉ được gắn cờ.

Ai Được Truy Cập và Như Thế Nào

Codex Security hiện có sẵn cho khách hàng ChatGPT Pro, Enterprise, Business và Edu qua giao diện web Codex, với tháng đầu tiên miễn phí. Nó kết nối trực tiếp với các repository GitHub — sau khi kích hoạt repository, agent bắt đầu xây dựng mô hình mối đe dọa và quét lịch sử tự động.

Định nghĩa research preview là có chủ đích: OpenAI đang thu thập phản hồi thực tế ở quy mô lớn trước khi triển khai rộng hơn. Nhưng với kết quả beta, "preview" có vẻ là thủ tục hơn là cảnh báo thực sự.

Bức Tranh Lớn Hơn: Lật Ngược Thế Cân Bằng

Mỗi năm, hàng chục nghìn lỗ hổng mới được phát hiện trên các codebase doanh nghiệp và mã nguồn mở. Các nhóm bảo mật luôn bị áp đảo về số lượng — người bảo vệ phải tìm mọi lỗ hổng trong khi kẻ tấn công chỉ cần tìm một. OpenAI đã nói rõ mục tiêu: lật ngược sự bất đối xứng đó có lợi cho người bảo vệ.

Codex Security là bước tiến đáng tin cậy hướng tới mục tiêu đó. Bằng cách kết hợp khả năng lý luận của các mô hình AI tiên tiến với xác thực tự động và tích hợp quy trình làm việc, nó biến bảo mật từ kiểm toán định kỳ thành quy trình liên tục, thông minh. Câu hỏi không còn là liệu AI có thể giúp ích cho an ninh mạng — con số beta đã trả lời rồi. Câu hỏi bây giờ là các tổ chức sẽ nhanh đến đâu trong việc biến nó thành một phần của cách họ xây dựng phần mềm.

Nguồn: https://openai.com/vi-VN/index/codex-security-now-in-research-preview/