<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>安全扫描 on Codexer</title><link>https://codexer.com/tags/%E5%AE%89%E5%85%A8%E6%89%AB%E6%8F%8F/</link><description>Recent content in 安全扫描 on Codexer</description><generator>Hugo</generator><language>zh-cn</language><lastBuildDate>Tue, 30 Jun 2026 10:00:00 +0800</lastBuildDate><atom:link href="https://codexer.com/tags/%E5%AE%89%E5%85%A8%E6%89%AB%E6%8F%8F/index.xml" rel="self" type="application/rss+xml"/><item><title>Codex 不只是写代码了：OpenAI 把它变成了安全扫描器</title><link>https://codexer.com/posts/2026-06-30-codex-security-scanner/</link><pubDate>Tue, 30 Jun 2026 10:00:00 +0800</pubDate><guid>https://codexer.com/posts/2026-06-30-codex-security-scanner/</guid><description>&lt;p&gt;2025 年 4 月，OpenAI 发布了 Codex，一个运行在终端里的 AI 编程助手。那时候，大家对它的期待很简单：让 AI 帮忙写代码、改 bug、跑测试。一年多过去了，Codex 的用户已经不只是写代码的程序员，它还在变成一种全新的工作方式。&lt;/p&gt;
&lt;p&gt;而最近，OpenAI 又给 Codex 加了一个让人意想不到的功能：&lt;strong&gt;安全漏洞扫描&lt;/strong&gt;。&lt;/p&gt;
&lt;p&gt;没错，就是那个在终端里帮你写 Python 脚本的 Codex，现在可以像专业安全审计工具一样，扫描你的代码仓库、发现安全漏洞、验证误报、生成修复建议，甚至整合到你的 CI/CD 流程里。这个功能叫 &lt;strong&gt;Codex Security&lt;/strong&gt;，它标志着 AI 编程 Agent 正在从「帮人写代码」进化成「帮人守护代码」。&lt;/p&gt;
&lt;h2 id="一个插件两种形态"&gt;一个插件，两种形态&lt;/h2&gt;
&lt;p&gt;Codex Security 目前有两种使用方式：&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;第一种是本地插件。&lt;/strong&gt; 在 Codex 桌面应用中安装 Codex Security 插件，然后在代码仓库里开启一个新线程，对它说一句「Run a Codex Security scan on this repository」，Codex 就会开始扫描你的代码。你可以选择标准扫描或深度扫描，可以指定扫描范围（整个仓库还是某个文件夹），甚至可以提供特定的威胁模型来指导扫描方向。&lt;/p&gt;
&lt;p&gt;扫描完成后，Codex 会生成一个完整的工作区，包含按严重程度、类别、目录分类的漏洞列表，以及一份可移植的完整报告 &lt;code&gt;report.md&lt;/code&gt;。你可以在 UI 里逐条审查，也可以把报告分享给团队成员。&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;第二种是云端服务（Codex Security Cloud）。&lt;/strong&gt; 目前还处于 research preview 阶段，但已经可以连接 GitHub 仓库，自动对每次提交进行安全扫描。它会为每个仓库构建特定的威胁模型，用真实的代码上下文来检测漏洞，然后在隔离环境中验证高危发现，最后把经过筛选的结果呈现给你。&lt;/p&gt;
&lt;p&gt;云端的核心设计理念是「降噪」。传统 SAST 工具的一个大问题是误报太多，安全工程师经常要在几百条告警中手动筛选真正的问题。Codex Security Cloud 用 AI 来承担这个筛选工作，它只把经过验证的高信号发现推送到你面前。&lt;/p&gt;
&lt;h2 id="不只是发现问题而是驱动修复"&gt;不只是「发现问题」，而是「驱动修复」&lt;/h2&gt;
&lt;p&gt;Codex Security 的工作流分为几个阶段：&lt;/p&gt;</description></item></channel></rss>