OpenAI Codex Security Scan 1,2 Juta Commit Temukan 10.561 Kerentanan Tinggi

OpenAI baru-baru ini memperkenalkan Codex Security, sebuah agen keamanan berbasis kecerdasan buatan (AI) yang dirancang untuk mendeteksi, memvalidasi, dan mengusulkan perbaikan atas kerentanan keamanan pada kode sumber perangkat lunak. Dalam peluncuran awalnya, Codex Security telah memindai lebih dari 1,2 juta commit pada berbagai repositori eksternal dan berhasil menemukan 792 temuan kritis serta 10.561 kerentanan tingkat tinggi.

Fitur dan Fungsi Codex Security

Codex Security tersedia dalam versi preview riset untuk pelanggan ChatGPT Pro, Enterprise, Business, dan Edu melalui platform Codex web dengan akses gratis selama satu bulan pertama. OpenAI menjelaskan bahwa AI ini mampu membangun konteks mendalam terkait proyek sehingga mampu mendeteksi kerentanan kompleks yang seringkali terlewat oleh alat lain. Selain itu, Codex Security memberikan hasil dengan tingkat kepercayaan tinggi dan solusi perbaikan yang efektif, sekaligus meminimalkan gangguan akibat notifikasi bug yang tidak signifikan.

Codex Security merupakan pengembangan dari Aardvark, alat yang diperkenalkan OpenAI pada Oktober 2025 dalam versi beta privat, yang bertujuan mendukung pengembang dan tim keamanan dalam mendeteksi dan memperbaiki celah keamanan secara masif.

Hasil Pemindaian dan Dampak pada Proyek Open Source

Selama periode beta terakhir, Codex Security telah mengidentifikasi kerentanan di berbagai proyek open source populer, termasuk OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP, dan Chromium. Beberapa CVE yang ditemukan antara lain:

• GnuPG - CVE-2026-24881, CVE-2026-24882
• GnuTLS - CVE-2025-32988, CVE-2025-32989
• GOGS - CVE-2025-64175, CVE-2026-25242
• Thorium - CVE-2025-35430 hingga CVE-2025-35436

OpenAI menegaskan bahwa Codex Security menggabungkan kemampuan penalaran dari model-model frontier mereka dengan validasi otomatis untuk menekan risiko positif palsu dan memberikan perbaikan yang dapat langsung diterapkan.

Analisis berkelanjutan yang dilakukan OpenAI pada repositori yang sama menunjukkan peningkatan akurasi serta penurunan tingkat positif palsu lebih dari 50% di seluruh repositori yang dipindai.

Mekanisme Kerja Codex Security

Menurut pernyataan resmi OpenAI, Codex Security bekerja dalam tiga tahap utama:

1. Membangun Model Ancaman: Agen ini menganalisis struktur keamanan proyek untuk memahami sistem secara mendalam dan mengembangkan model ancaman yang dapat diedit, menggambarkan fungsi dan area yang paling rawan.
2. Deteksi dan Validasi Kerentanan: Dengan konteks sistem yang sudah dibuat, Codex Security mengidentifikasi kerentanan dan mengklasifikasikannya berdasarkan dampak nyata di lapangan. Kemudian, masalah yang ditemukan diuji dalam lingkungan sandbox untuk memvalidasi keabsahannya.
3. Usulan Perbaikan: Setelah validasi, agen ini mengajukan solusi perbaikan yang paling sesuai dengan perilaku sistem untuk mengurangi risiko regresi dan mempermudah proses review serta implementasi perbaikan.

OpenAI juga menambahkan bahwa ketika Codex Security dikonfigurasi dengan lingkungan yang disesuaikan dengan proyek pengguna, agen ini dapat memvalidasi potensi masalah langsung dalam konteks sistem yang berjalan. Pendekatan ini secara signifikan mengurangi jumlah positif palsu dan memungkinkan pembuatan bukti konsep yang berfungsi, memberikan bukti kuat bagi tim keamanan dan jalur perbaikan yang lebih jelas.

Perkembangan Terbaru dan Persaingan di Industri

Kehadiran Codex Security muncul tidak lama setelah Anthropic meluncurkan Claude Code Security, sebuah alat yang juga membantu pengguna dalam memindai kode sumber untuk menemukan kerentanan serta memberikan rekomendasi patch. Persaingan ini menunjukkan tren yang semakin kuat dalam pemanfaatan AI untuk memperkuat keamanan aplikasi dan perangkat lunak secara otomatis dan skalabel.

Analisis Redaksi

Menurut pandangan redaksi, peluncuran Codex Security oleh OpenAI menandai sebuah game-changer dalam dunia keamanan perangkat lunak. Dengan kemampuan untuk memindai jutaan commit dan mengidentifikasi ribuan kerentanan serius, Codex Security berpotensi mengubah cara tim pengembang dan keamanan menangani risiko keamanan. Hal ini akan mempercepat siklus deteksi dan perbaikan, sehingga mengurangi peluang eksploitasi oleh pihak jahat.

Namun, penting untuk dicermati bahwa meskipun AI dapat mengotomatiskan sebagian besar proses, peran manusia tetap krusial untuk meninjau dan mengimplementasikan rekomendasi perbaikan dengan cermat agar tidak menimbulkan regresi atau masalah baru. Ke depannya, kita harus mengawasi bagaimana adopsi teknologi ini berkembang dan berdampak pada standar keamanan di industri, terutama untuk proyek open source yang sering kali menjadi target serangan.

Dengan semakin berkembangnya AI di sektor keamanan, para pengembang dan organisasi harus mulai mempersiapkan infrastruktur dan budaya kerja yang mendukung integrasi alat seperti Codex Security agar dapat memaksimalkan manfaatnya. Jangan lewatkan update selanjutnya mengenai inovasi AI dalam dunia keamanan siber yang akan terus bergulir di tahun-tahun mendatang.