OpenAI lanzó Codex Security el 6 de marzoingresando al mercado de seguridad de aplicaciones que Anthropic había irrumpido 14 días antiguamente con Claude Code Security. Entreambos escáneres utilizan el razonamiento LLM en extensión de la coincidencia de patrones. Entreambos demostraron que las herramientas tradicionales de pruebas de seguridad de aplicaciones estáticas (SAST) son estructuralmente ciegas a clases enteras de vulnerabilidad. La pila de seguridad empresarial está atrapada en el medio.

Anthropic y OpenAI lanzaron de forma independiente escáneres de vulnerabilidades basados ​​en el razonamiento, y entreambos encontraron clases de errores para las que el SAST de coincidencia de patrones nunca fue diseñado. La presión competitiva entre dos laboratorios con una valoración combinada en el mercado privado que supera los 1,1 billones de dólares significa que la calidad de la detección mejorará más rápido de lo que cualquier proveedor puede ofrecer por sí solo.

Ni Claude Code Security ni Codex Security reemplazan su pila existente. Ambas herramientas cambian permanentemente las matemáticas de adquisiciones. En este momento, entreambos son gratuitos para los clientes empresariales. La comparación directa y las siete acciones siguientes son lo que necesita antiguamente de que la corporación directiva le pregunte qué escáner está probando y por qué.

Cómo Anthropic y OpenAI llegaron a la misma conclusión desde diferentes arquitecturas

Anthropic publicó su investigación de día cero el 5 de febrero pegado con el emanación de Claude Opus 4.6. Anthropic dijo que Claude Opus 4.6 encontró más de 500 vulnerabilidades de ingreso recaída previamente desconocidas en bases de código de código descubierto de producción que habían sobrevivido décadas de revisión de expertos y millones de horas de confusión.

En la biblioteca CGIF, Claude descubrió un desbordamiento del búfer del montón al razonar sobre el operación de compresión LZW, una rotura que la fuzzing guiada por cobertura no podía detectar ni siquiera con una cobertura de código del 100%. Anthropic envió Claude Code Security como una sagacidad previa de investigación limitada el 20 de febrero, acondicionado para clientes empresariales y de equipo, con comunicación acelerado de balde para los mantenedores de código descubierto. Gabby Curtis, líder de comunicaciones de Anthropic, dijo a VentureBeat en una entrevista monopolio que Anthropic creó Claude Code Security para que las capacidades defensivas estuvieran más disponibles.

Los números de OpenAI provienen de una bloque diferente y una superficie de escaneo más amplia. Codex Security evolucionó a partir de Aardvark, una útil interna impulsada por GPT-5 que entró en interpretación beta privada en 2025. Durante el período beta de Codex Security, el agente de OpenAI escaneó más de 1,2 millones de confirmaciones en repositorios externos, arrojando a la luz lo que OpenAI dijo que eran 792 hallazgos críticos y 10,561 hallazgos de ingreso recaída. OpenAI informó vulnerabilidades en OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP y Chromium, lo que resultó en 14 CVE asignados. Las tasas de falsos positivos de Codex Security cayeron más del 50% en todos los repositorios durante la interpretación beta, según OpenAI. La recaída sobreinformada cayó más del 90%.

Los investigadores de Checkmarx Zero demostraron que las vulnerabilidades moderadamente complicadas a veces escapaban a la detección de Claude Code Security. Los desarrolladores podrían engañar al agente para que ignore el código abandonado. En un escaneo completo del código cojín de producción, Checkmarx Zero descubrió que Claude identificó ocho vulnerabilidades, pero solo dos eran verdaderamente positivas. Si una ofuscación moderadamente compleja derrota al escáner, el techo de detección es más bajo de lo que sugieren las cifras de los titulares. Ni Anthropic ni OpenAI han presentado afirmaciones de detección a una auditoría independiente de terceros. Los líderes de seguridad deberían tratar las cifras reportadas como indicativas, no auditadas.

Merritt Baer, ​​CSO de Sintetizar IA y ex CISO adjunto de AWS, le dijo a VentureBeat que la carrera competitiva de los escáneres comprime la ventana para todos. Baer aconsejó a los equipos de seguridad priorizar los parches en función de la explotabilidad en su contexto de tiempo de ejecución en extensión de solo las puntuaciones CVSS, acortar la ventana entre el descubrimiento, la clasificación y el parche, y surtir la visibilidad de la serie de materiales del software para conocer instantáneamente dónde se ejecuta un componente abandonado.

Diferentes métodos, casi sin superposición en las bases de código que escanearon, pero la misma conclusión. La coincidencia de patrones SAST tiene un tope mayor y el razonamiento LLM extiende la detección más allá de ese tope. Cuando dos laboratorios en competencia distribuyen esa capacidad al mismo tiempo, la matemática del doble uso se vuelve incómoda. Cualquier institución financiera o fintech que ejecute una cojín de código comercial debe responsabilizarse que si Claude Code Security y Codex Security pueden encontrar estos errores, los adversarios con comunicación API igualmente podrán encontrarlos.

Baer lo expresó sin rodeos: las vulnerabilidades de código descubierto que surgen de los modelos de razonamiento deben tratarse más cerca de los descubrimientos de clase de día cero, no de los principios pendientes. La ventana entre el descubrimiento y la explotación acaba de comprimirse, y la mayoría de los programas de trámite de vulnerabilidades todavía se están clasificando exclusivamente en CVSS.

Lo que prueban las respuestas de los proveedores

Furtivola plataforma de seguridad para desarrolladores utilizada por los equipos de ingeniería para encontrar y corregir vulnerabilidades en el código y dependencias de código descubierto, reconoció el avance técnico pero argumentó que encontrar vulnerabilidades nunca ha sido la parte difícil. Arreglarlos a escalera, en cientos de repositorios, sin romper cero. Ése es el cuello de botella. Snyk señaló una investigación que muestra que el código generado por IA es 2,74 veces más probabilidades de introducir vulnerabilidades de seguridad en comparación con el código escrito por humanos, según Mensaje de seguridad del código GenAI 2025 de Veracode. Los mismos modelos que encuentran cientos de días cero igualmente introducen nuevas clases de vulnerabilidad cuando escriben código.

El CTO de Cycode, Ronen Slavin, escribió que Claude Code Security representa un avance técnico auténtico en el descomposición asombrado, pero que Los modelos de IA son probabilísticos por naturaleza. Slavin argumentó que los equipos de seguridad necesitan resultados consistentes, reproducibles y con calidad de auditoría, y que una capacidad de escaneo integrada en un IDE es útil pero no constituye una infraestructura. Posición de Slavin: SAST es una disciplina adentro de un efecto mucho más amplio, y el escaneo de balde no desplaza a las plataformas que manejan la gobernanza, la integridad de la canalización y el comportamiento del tiempo de ejecución a escalera empresarial.

“Si los escáneres de razonamiento de códigos de los principales laboratorios de IA son efectivamente gratuitos para los clientes empresariales, entonces el escaneo de códigos estáticos se comercializará de la tenebrosidad a la mañana”, dijo Baer a VentureBeat. Durante los próximos 12 meses, Baer paciencia que el presupuesto avance alrededor de tres áreas.

1. Capas de tiempo de ejecución y explotabilidadincluida la protección en tiempo de ejecución y el descomposición de rutas de ataque.

2. Gobernanza de la IA y seguridad del maniquíincluidas barreras de seguridad, defensas de inyección rápida y supervisión de agentes.

3. Automatización de remediación. “El impacto neto es que el consumición en AppSec probablemente no se reduzca, pero el centro de recaída se aleja de las licencias SAST tradicionales y se acerca a herramientas que acortan los ciclos de remediación”, dijo Baer.

Siete cosas que hacer antiguamente de su próxima reunión de la corporación directiva

1. Ejecute entreambos escáneres con un subconjunto de cojín de código representativo. Compare los hallazgos de Claude Code Security y Codex Security con su salida SAST existente. Comience con un único repositorio representativo, no con todo su código cojín. Ambas herramientas se encuentran en período preliminar de investigación con restricciones de comunicación que hacen que el escaneo completo sea prematuro. El delta es su inventario de puntos ciegos.

2. Construir el ámbito de gobernanza antiguamente del piloto, no posteriormente. Baer le dijo a VentureBeat que tratara cualquiera de las herramientas como un nuevo procesador de datos para las joyas de la corona, que es su código fuente. El maniquí de gobernanza de Baer incluye un acuerdo formal de procesamiento de datos con declaraciones claras sobre omisión de capacitación, retención de datos y uso de subprocesadores, un canal de remisión segmentado para que solo se transmitan los repositorios que desea escanear y una política de clasificación interna que distingue el código que puede salir de sus límites del código que no puede. En entrevistas con más de 40 CISO, VentureBeat descubrió que tan pronto como existen todavía marcos formales de gobernanza para herramientas de escaneo basadas en el razonamiento. Baer señaló la IP derivada como el punto ciego que la mayoría de los equipos no han abordado. ¿Pueden los proveedores de modelos conservar incrustaciones o rastros de razonamiento? ¿Se consideran esos artefactos propiedad intelectual suya? La otra brecha es la residencia de datos para el código, que históricamente no estaba regulado como los datos de los clientes, pero que cada vez más cae bajo control de exportaciones y revisión de seguridad doméstico.

3. Mapee lo que no cubre ninguna útil. Disección de composición de software. Escaneo de contenedores. Infraestructura como código. DAST. Detección y respuesta en tiempo de ejecución. Claude Code Security y Codex Security operan en la capa de razonamiento del código. Su pila existente se encarga de todo lo demás. El poder de fijación de precios de esa pila es lo que cambió.

4. Cuantificar la exposición al doble uso. Cada día cero que surgen Anthropic y OpenAI vive en un esquema de código descubierto del que dependen las aplicaciones empresariales. Entreambos laboratorios divulgan y parchean de guisa responsable, pero la ventana entre su descubrimiento y su acogida de esos parches es exactamente donde operan los atacantes. La startup de seguridad de IA AISLE descubrió todo de forma independiente 12 vulnerabilidades de día cero en el parche de seguridad de OpenSSL de enero de 2026incluido un desbordamiento del búfer de pila (CVE-2025-15467) que es potencialmente explotable de forma remota sin material de esencia válido. Fuzzers corrió contra OpenSSL durante abriles y se lo perdió todo. Supongamos que los adversarios están ejecutando los mismos modelos con las mismas bases de código.

5. Prepare la comparación del tablero antiguamente de que pregunten. Claude Code Security analiza el código contextualmente, rastrea los flujos de datos y utiliza la autoverificación de varias etapas. Codex Security crea un maniquí de amenazas específico del esquema antiguamente de escanear y valida los hallazgos en entornos aislados. Cada útil se encuentra en período preliminar de investigación y requiere la aprobación humana antiguamente de aplicar cualquier parche. La corporación necesita un descomposición en paralelo, no un discurso de un solo proveedor. Cuando la conversación viaje en torno a por qué su suite coetáneo no encontró lo que encontró Anthropic, Baer ofreció un ámbito que funciona a nivel de tablero. La coincidencia de patrones SAST resolvió una procreación diferente de problemas, dijo Baer a VentureBeat. Fue diseñado para detectar antipatrones conocidos. Esa capacidad sigue siendo importante y aún reduce el aventura. Pero los modelos de razonamiento pueden evaluar la dialéctica de múltiples archivos, las transiciones de estado y la intención del desarrollador, que es donde viven muchos errores modernos. Epítome de Baer pronto para la corporación directiva: “Compramos las herramientas adecuadas para las amenazas de la última decenio; la tecnología acaba de avanzar”.

6. Seguimiento del ciclo competitivo. Ambas empresas se dirigen alrededor de las OPI y los logros en seguridad empresarial impulsan la novelística de crecimiento. Cuando un escáner no detecta un punto ciego, en cuestión de semanas llega a la hoja de ruta de funciones del otro laboratorio. Entreambos laboratorios envían actualizaciones de modelos en ciclos mensuales. Esa cadencia superará el calendario de lanzamientos de cualquier proveedor. Baer dijo que ejecutar entreambos es el movimiento correcto: “Diferentes modelos razonan de guisa diferente, y el delta entre ellos puede revelar errores que ninguna útil por sí sola detectaría consistentemente. A corto plazo, usar entreambos no es demasía. Es una defensa a través de la diversificación de sistemas de razonamiento”.

7. Establezca una ventana piloto de 30 días. Antaño del 20 de febrero esta prueba no existía. Ejecute Claude Code Security y Codex Security con la misma cojín de código y deje que Delta impulse la conversación sobre adquisiciones con datos empíricos en extensión de marketing de proveedores. Treinta días te dan esos datos.

Catorce días separaron a Anthropic y OpenAI. La brecha entre los próximos lanzamientos será más corta. Los atacantes siguen el mismo calendario.