OpenAI 推出 Codex Security 插件,在 Codex 里一键扫描代码漏洞、验证可利用性并给出修复方案,附带完整上手步骤。


OpenAI 推出 Codex Security 插件,在 Codex 里一键扫描代码漏洞、验证可利用性并给出修复方案,附带完整上手步骤。
代码安全审查是出了名的枯燥又容易漏。OpenAI 把这件事做成了一个 Codex 插件——Codex Security,目前处于 research preview(研究预览)。它扫描你的代码库、找出漏洞、验证是否真的可利用、再给出修复建议。据 StackHawk 统计,私有测试期间它扫了 120 万次提交、揪出超过 1 万个高危项。这篇讲它怎么用。
传统安全扫描器的老大难是误报:扫出一堆"可能的漏洞",开发还得一个个去核实是不是真的。Codex Security 的核心卖点是在"发现"和"报告"之间插了一步——验证:它会实际去测试这个漏洞能不能被利用,把假阳性过滤掉,只把"真问题 + 证据 + 修复方案"交到你手上。
官方定义:Codex Security 是一个面向 Codex 的安全审查插件,扫描代码漏洞、验证合理发现、并以可审阅的工作区形式呈现证据和修复指引。适用于上线前对自己拥有的代码做安全体检。
在 Codex App 里打开你要审查的代码库,然后安装 Codex Security 插件(官方提供安装入口)。
安装后必须开一个新 thread——因为 Codex 是在 thread 启动时加载插件,旧 thread 里插件不会生效。
💡 提示:如果用 Codex CLI,在仓库里启动 Codex,再打开插件浏览器:
codex /plugins搜索 Codex Security,选
Install plugin,然后开新 thread。
为获得最佳扫描质量,官方建议用 gpt-5.5 模型 + high 或 xhigh 推理强度。
在新 thread 里直接发这句:
Run a Codex Security scan on this repository.Codex 会在启动前打开一个配置工作区。第一次跑,推荐用这套设置:
CodebaseEntire codebase确认 Codebase / Current branch / Last commit 指向的就是你要扫的仓库,然后点 Start scan。
扫描需要时间,保持 thread 运行直到工作区提示完成。如果 Codex 识别出某个配置限制,它会先把具体限制和提议的修改摆给你看,你确认后才让它改配置。
扫描完成后会打开一个 findings 工作区,不用翻原始文件就能浏览发现和覆盖范围。可以按严重程度、类别、目录、补丁状态、审核状态筛选。
每次扫描还会生成这些产物:
report.md:完整的可移植报告,用于分享或归档scan-manifest.json、findings.json、coverage.json,供自动化和集成使用(通常你不用手动打开)跑完第一次后,官方列出了几条进阶路径:
Codex Security 的差异点在"验证"——不是只报漏洞,而是测一遍能不能真利用、再给证据和补丁。集成进 Codex 工作流后,它更像一个常驻的安全审查搭档,而不是装完就忘的扫描器。research preview 阶段适合先在自己的仓库上试水。

Anthropic 推出面向科研的 AI 工作台 Claude Science,内置 60+ 技能、可复现。另有开源平替 OpenScience 支持 DeepSeek/GLM。

Catnip 团队推出 22B 参数流式音视频模型 MaineCoon,单卡 H100 跑出 47.5 FPS,成本仅为 Veo 3 的 1/2000,支持 30 分钟以上音画同出。

OpenAI Codex 新增 OSS 模式,支持通过 model_providers 配置接入 Ollama、LM Studio 等本地模型服务,可切换模型降低成本。