Codex Security от OpenAI: что меняется в защите продуктов и сколько это стоит бизнесу

OpenAI открыла превью Codex Security для тарифов ChatGPT Enterprise, Business и Edu. Инструмент претендует на автономный аудит безопасности — от поиска уязвимостей до написания патча. Для продуктовых команд это прямое покушение на бюджет пентестинга и ставки штатных специалистов по безопасности.

Что произошло

По данным компании, Codex Security строит индивидуальную модель угроз на основе архитектуры проекта. Агент ищет уязвимости, затем разворачивает изолированную копию системы в песочнице и проводит реальную атаку для подтверждения бага. Если взлом удался — пишет патч и прогоняет регрессионные тесты.

Доступ — только для корпоративных тарифов. Публичных данных о ценообразовании на момент публикации нет.

Почему это бьёт по деньгам и маркетингу

• Влияние на воронку и репутацию — утечка данных клиентов обнуляет доверие быстрее любой рекламной кампании. Автоматический патчинг снижает окно уязвимости, пока команда спит.
• Влияние на CAC (стоимость привлечения клиента) и LTV (пожизненную ценность клиента) — один серьёзный инцидент безопасности в B2B поднимает CAC (стоимость привлечения) на 15–40% за счёт роста стоимости продаж и падения конверсии. Инструмент снижает вероятность такого сценария.
• Влияние на операционку — пентест у внешнего подрядчика стоит от 300 тыс. до нескольких миллионов рублей за проект. Если Codex Security закрывает хотя бы часть этого объёма — математика интересная.

Где обычно ломается система (узкие места)

• Агент нашёл уязвимость и написал патч → команда не понимает, что именно изменилось в коде → патч уходит в прод без человеческой проверки → новая дыра или сломанная функциональность.
• Модель угроз построена на неполной архитектуре → легаси-компоненты и сторонние интеграции остались вне карты → аудит дал ложное чувство безопасности → реальная атака проходит через непросканированный слой.
• Корпоративный тариф есть, процесс управления уязвимостями — нет → результаты Codex Security некуда складывать и некому разбирать → инструмент работает, толку ноль.

Что делать за 30 дней

1. Аудит текущих затрат на безопасность — собери все статьи: внешний пентест, баг-баунти, часы штатных специалистов. Метрика: сумма за последние 12 месяцев и частота закрытия инцидентов.
2. Пилот на изолированном проекте — подключи Codex Security к одному продукту с известными уязвимостями (если такие есть в тестовой среде). Метрика: процент найденных багов от общего числа известных и качество предложенных патчей.
3. Создай регламент проверки патчей — любое исправление от агента должно проходить через senior-разработчика до мёрджа в основную ветку. Метрика: 100% патчей с человеческой подписью ответственного.

Вывод

Внедрять — осторожно, с пилотом и регламентом. Игнорировать глупо: инструмент закрывает реальную боль. Отдавать агенту полный контроль над патчингом в проде — пока рано. Ответственность за инцидент всё равно останется на людях.