OpenAI เปิด Codex Security AI Agent ตรวจช่องโหว่โค้ดแบบมีบริบท

OpenAI เปิดตัว Codex Security อย่างเป็นทางการในสถานะ Research Preview เมื่อ 6 มีนาคม 2026 โดยวางตำแหน่งเป็น AI Agent ด้าน Application Security ที่ไม่ได้แค่สแกนโค้ดหาช่องโหว่ แต่พยายามทำความเข้าใจบริบทของทั้งโปรเจกต์ก่อน แล้วค่อยชี้ประเด็นที่มีผลกระทบจริง พร้อมเสนอ Patch ที่เอาไปใช้ต่อได้เลย ตอนนี้เริ่มทยอยเปิดผ่าน Codex web ให้ลูกค้า ChatGPT Pro, Enterprise, Business และ Edu ใช้งานฟรีในเดือนแรก

เหตุผลที่ OpenAI โฟกัสตรงนี้ก็ตรงไปตรงมา โลกไม่ได้ขาดเครื่องมือ AI ที่ชี้ Bug ได้เยอะขึ้น แต่กำลังขาดเครื่องมือที่ช่วยลด False Positive (การแจ้งเตือนผิด) และตัดงานคัดแยกที่กินเวลาทีม Security แบบไม่สร้างมูลค่า ยิ่งฝั่ง Dev ใช้ AI เร่งการเขียนซอฟต์แวร์กันหนักขึ้น ขั้นตอน Security Review ก็ยิ่งกลายเป็นคอขวดตัวเป้งของ Pipeline

วิธีทำงานของ Codex Security มี 3 จังหวะหลัก
1) มันวิเคราะห์ Repository เพื่อสร้าง Threat Model (แผนภาพและสมมติฐานจุดเสี่ยงของระบบ) เฉพาะโปรเจกต์ ว่าระบบทำอะไร เชื่อใจอะไร และเปิดผิวโจมตีไว้ตรงไหน ทีมงานยังแก้ไข Threat Model ได้เอง เพื่อไม่ให้ AI หลุดบริบทของสถาปัตยกรรมจริง

2) จากนั้นมันค่อยไล่หาช่องโหว่โดยอิงกับ Threat Model ที่สร้างไว้ และพยายาม validate ผลลัพธ์ใน Sandbox หรือ Environment ที่ปรับให้เข้ากับโปรเจกต์ เพื่อแยกสัญญาณจริงออกจากเสียงรบกวน ถ้าตั้งสภาพแวดล้อมได้ลึกพอ ระบบยังสร้าง proof of concept ที่ใช้งานได้จริงให้ทีม Security เห็นหลักฐานชัดขึ้น ไม่ต้องเดาว่ารูรั่วนี้รั่วจริงหรือแค่ AI ตื่นตูม

3) ขั้นสุดท้ายคือเสนอ Patch โดยดูพฤติกรรมรอบระบบทั้งหมด ไม่ใช่แก้ให้หายเฉพาะจุดแล้วไปเปิดแผลใหม่ตรงอื่น OpenAI บอกว่า Codex Security ยังเรียนรู้จาก Feedback ได้ด้วย เช่น ถ้าทีมปรับระดับความรุนแรงของ Issue มันจะเอาข้อมูลนั้นไปจูนความแม่นของการสแกนรอบต่อไปให้เข้ากับ Risk Posture ขององค์กร

ของใหม่นี้ไม่ใช่ของที่เพิ่งคิดเมื่อคืน เดิมมันใช้ชื่อ Aardvark และเริ่มทดสอบแบบ Private Beta ตั้งแต่ปีที่แล้ว ช่วงใช้งานภายใน OpenAI ระบุว่ามันเคยเจอ SSRF (การหลอกให้เซิร์ฟเวอร์ไปเรียกปลายทางแทนผู้โจมตี), ช่องโหว่ยืนยันตัวตนข้าม Tenant ระดับวิกฤต และปัญหาอื่นอีกหลายจุดที่ทีมแก้ได้ภายในไม่กี่ชั่วโมง ระหว่าง Beta คุณภาพผลลัพธ์ก็ดีขึ้นเรื่อย ๆ โดยการสแกน Repository เดิมบางชุดลด Noise ได้ถึง 84% ลดการประเมินความรุนแรงเกินจริงมากกว่า 90% และลดอัตรา False Positive ลงมากกว่า 50% ในทุก Repository ที่ทดสอบ

ในช่วง 30 วันที่ผ่านมา Codex Security สแกน Commit ภายนอกไปมากกว่า 1.2 ล้าน Commit พบช่องโหว่ระดับ Critical 792 รายการ และระดับ High 10,561 รายการ โดย Issue ระดับ Critical โผล่ในน้อยกว่า 0.1% ของ Commit ที่ตรวจทั้งหมด ภาพที่ OpenAI อยากขายจึงชัดมาก คือไม่ใช่สแกนให้ดัง แต่สแกนให้แม่น ด้าน NETGEAR ที่เข้าร่วม Early Access ก็บอกว่าประสบการณ์ใช้งานให้ความรู้สึกเหมือนมีนักวิจัย Product Security มานั่งทำงานข้างทีม

อีกมุมที่น่าสนใจคือฝั่ง Open Source ซึ่ง OpenAI บอกว่าได้นำ Codex Security ไปช่วยสแกนโปรเจกต์ที่ตัวเองพึ่งพาอยู่ และส่งรายงานช่องโหว่กลับให้ Maintainer ของโปรเจกต์ยอดนิยมหลายตัว เช่น OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP และ Chromium จนมีการออกเลข CVE แล้ว 14 รายการ พร้อมเปิดโปรแกรม Codex for OSS แจกบัญชี ChatGPT Pro และ Plus ฟรี รวมถึง Code Review และ Codex Security ให้ผู้ดูแลโครงการชุดแรก โดย OpenAI ยกตัวอย่างว่า vLLM เริ่มใช้มันหาและอุดรูรั่วใน Workflow ปกติแล้ว

สรุปแล้ว OpenAI กำลังพา Codex จากผู้ช่วยเขียนโค้ดไปสู่ผู้ช่วยจับจุดรั่วของโค้ดแบบจริงจัง และเดิมพันว่า AI ที่เข้าใจระบบก่อนค่อยพูด จะมีค่ากว่า AI ที่ตะโกนคำว่าเจอ Bug ไปทั่ว เพราะสำหรับทีม Security สิ่งที่แพงที่สุดไม่ใช่ช่องโหว่ที่เห็นชัด แต่คือเวลาที่หายไปกับการไล่เก็บของปลอมทั้งวัน