اليوم نقدّم Codex Security، وكيل أمان التطبيقات لدينا. يبني فهمًا عميقًا لسياق مشروعك من أجل اكتشاف الثغرات المعقّدة التي قد تفوتها أدوات الوكلاء الأخرى، ويعرض نتائج عالية الموثوقية مصحوبة بإصلاحات تُحسّن أمن النظام بشكل ملموس، مع تجنيبك ضوضاء الأخطاء غير المهمة.
يُعد السياق عنصرًا أساسيًا عند تقييم المخاطر الأمنية الحقيقية، لكن معظم أدوات أمن الذكاء الاصطناعي تكتفي بالإشارة إلى نتائج منخفضة التأثير وإيجابيات كاذبة، مما يضطر فرق الأمن إلى قضاء وقت كبير في عملية الفرز والتدقيق. وفي الوقت نفسه، تُسرّع الوكلاء البرمجية وتيرة تطوير البرمجيات، مما يجعل مراجعة الأمن عنق زجاجة يزداد أهمية.
يعالج Codex Security كلا التحديين. من خلال الجمع بين الاستدلال الوكيلي من نماذجنا الرائدة والتحقق الآلي، يقدّم نتائج عالية الثقة وإصلاحات قابلة للتنفيذ حتى تتمكن الفرق من التركيز على الثغرات الأمنية المهمة وإصدار تعليمات برمجية آمنة بسرعة أكبر.
أُطلق Codex Security العام الماضي كنسخة تجريبية خاصة مع مجموعة محدودة من العملاء، وكان يُعرف سابقًا باسم Aardvark. وخلال عمليات النشر الداخلية المبكرة، كشف عن ثغرة SSRF حقيقية، وثغرة مصادقة حرجة بين المستأجرين، إضافة إلى العديد من المشكلات الأخرى التي عالجها فريق الأمن لدينا خلال ساعات. كما ساعدت عمليات النشر المبكرة مع مختبرين خارجيين على تحسين الطريقة التي يقدّم بها المستخدمون سياق المنتج ذي الصلة والانتقال من مرحلة الإعداد إلى تأمين شيفراتهم. كذلك حسّنّا بشكل ملحوظ جودة النتائج خلال فترة النسخة التجريبية؛ إذ أظهرت عمليات الفحص على نفس المستودعات بمرور الوقت دقةً متزايدة، وفي إحدى الحالات انخفضت الضوضاء بنسبة 84% منذ الإطلاق الأولي. كما خفّضنا معدل النتائج ذات مستوى الخطورة المبالغ فيه بأكثر من 90%، وانخفضت معدلات الإيجابيات الكاذبة في الاكتشافات بأكثر من 50% عبر جميع المستودعات. وتساعد هذه التحسينات Codex Security على مواءمة مستوى الخطورة المبلّغ عنه بشكل أفضل مع المخاطر الواقعية وتقليل عبء الفرز غير الضروري على فرق الأمن، ونتوقع أن يستمر تحسن نسبة الإشارة إلى الضوضاء مع المزيد من الاستثمار.
ابتداءً من اليوم، يجري طرح Codex Security لعملاء ChatGPT Enterprise وBusiness وEdu عبر Codex على الويب، مع إتاحة الاستخدام مجانًا خلال الشهر المقبل.
يستفيد Codex Security من نماذج OpenAI الرائدة ووكيل Codex. ويمكنه تقليل النتائج غير المهمة وتسريع المعالجة عبر إرساء اكتشاف الثغرات والتحقق منها ومعالجتها ضمن سياق خاص بالنظام.
- إنشاء سياق للنظام وبناء نموذج تهديد قابل للتعديل: بعد إعداد عملية الفحص، يحلّل المستودع لديك لفهم البنية المرتبطة بالأمن في النظام، ويولّد نموذج تهديد خاصًا بالمشروع يوضح ما الذي يفعله النظام، وما الذي يثق به، وأين يكون أكثر عرضة للمخاطر. ويمكن تعديل نماذج التهديد للحفاظ على توافق الوكيل مع فريقك.
- تحديد أولويات المشكلات والتحقق منها: باستخدام نموذج التهديد كسياق مرجعي، يبحث عن الثغرات ويصنّف النتائج بناءً على الأثر المتوقع في العالم الحقيقي داخل نظامك. وعند الإمكان، يجري اختبارًا تحت الضغط للنتائج في بيئات تحقق معزولة لتمييز الإشارات الحقيقية من الضوضاء. ويمكن للمستخدمين الاطلاع على هذا التحليل ضمن النتائج التي جرى التحقق منها. وعندما يُهيَّأ Codex Security ببيئة مصممة خصيصًا لمشروعك، يمكنه التحقق من المشكلات المحتملة مباشرة ضمن سياق النظام أثناء تشغيله. ويساعد هذا التحقق الأعمق على تقليل الإيجابيات الكاذبة بدرجة أكبر، كما يتيح إنشاء نماذج إثبات مفهوم عملية، مما يمنح فرق الأمن أدلة أقوى ومسارًا أوضح للمعالجة.
- معالجة المشكلات باستخدام سياق النظام الكامل: أخيرًا، يقترح Codex Security إصلاحات للمشكلات المكتشفة تتماشى مع نية النظام وسلوكه المحيط. ويتيح ذلك تطبيق إصلاحات تعزّز الأمان مع تقليل احتمالات حدوث تراجعات في النظام، مما يجعل مراجعتها ودمجها أكثر أمانًا. كما يمكن للمستخدمين تصفية النتائج للبقاء مركزين على ما يهم فريقهم أكثر ويحقق أكبر أثر أمني.
يمكن لـ Codex Security أيضًا التعلّم من ملاحظاتك بمرور الوقت لتحسين جودة نتائجه. فعند تعديل مستوى خطورة نتيجةٍ ما، يمكنه استخدام هذه الملاحظات لتنقيح نموذج التهديد وتحسين الدقة في عمليات التشغيل اللاحقة، إذ يتعلم ما الذي يهم فعلاً في بنية نظامك ووضعية المخاطر لديك.
صُمّم Codex Security ليعمل على نطاق واسع ويُبرز النتائج الأعلى موثوقية مع إصلاحات يسهل اعتمادها. وخلال الثلاثين يومًا الماضية، فحص Codex Security أكثر من 1.2 مليون عملية commit عبر مستودعات خارجية ضمن مجموعة النسخة التجريبية، محددًا 792 نتيجة حرجة و10,561 نتيجة عالية الخطورة. وقد ظهرت المشكلات الحرجة في أقل من 0.1% من عمليات commit التي جرى فحصها، مما يوضح أن النظام قادر على اكتشاف المشكلات المؤثرة في الأمان ضمن كميات كبيرة من الشيفرة مع تقليل الضوضاء على المراجعين.
"بصفتنا شركة تضع أمن المنتجات في صميم تركيزها، سرّت NETGEAR بالانضمام إلى برنامج الوصول المبكر، وقد فاقت النتائج التوقعات. فقد اندمج Codex Security بسلاسة في بيئة تطوير الأمان المتقدمة لدينا، مما عزز وتيرة عمليات المراجعة وعمقها. وكانت ملاحظاته واضحة وشاملة على نحو لافت، وغالبًا ما أعطت الانطباع بأن باحثًا متمرسًا في أمن المنتجات يعمل إلى جانبنا."
تشكل البرمجيات مفتوحة المصدر أساس الأنظمة الحديثة، بما في ذلك أنظمتنا. ولقد كنا نستخدم Codex Security لفحص مستودعات المصادر المفتوحة التي نعتمد عليها أكثر من غيرها، ومشاركة النتائج الأمنية عالية التأثير التي نحددها مع القائمين على الصيانة للمساعدة في تعزيز تلك الأسس.
في نقاشاتنا مع القائمين على صيانة المشاريع، برز موضوع متكرر: المشكلة ليست نقص تقارير الثغرات، بل كثرة التقارير منخفضة الجودة. وأخبرنا القائمون على الصيانة أنهم بحاجة إلى عدد أقل من الإيجابيات الكاذبة وطريقة أكثر استدامة لإبراز المشكلات الأمنية الحقيقية دون خلق عبء إضافي من الفرز والتحقق. وقد ساعدت هذه النقاشات في تشكيل الطريقة التي ندعم بها مجتمع المصدر المفتوح عبر Codex Security؛ فبدلًا من توليد كميات كبيرة من النتائج التخمينية، نعمل على بناء نظام يعطي الأولوية للمشكلات عالية الموثوقية التي يمكن للقائمين على الصيانة التعامل معها بسرعة.
كجزء من هذا العمل، أبلغنا عن ثغرات أمنية حرجة إلى عدد من مشاريع مفتوحة المصدر واسعة الاستخدام، بما في ذلك OpenSSH(يفتح في نافذة جديدة)، وGnuTLS(يفتح في نافذة جديدة)، وGOGS(يفتح في نافذة جديدة)، وThorium(يفتح في نافذة جديدة) وlibssh وPHP وChromium، وغيرها المزيد. وقد جُرى تخصيص أربعة عشر CVE، مع تسجيل حالتي إبلاغ مزدوج في اثنتين منها، وقد أوردنا بعض الأمثلة في الملحق.
بدأنا مؤخرًا بإدخال مجموعة أولية من القائمين على صيانة مشاريع المصدر المفتوح إلى Codex for OSS، وهو برنامجنا لدعم منظومة المصدر المفتوح عبر توفير حسابات ChatGPT Pro وPlus مجانًا، إضافة إلى مراجعة الشيفرة البرمجية وCodex Security. وقد استخدمت مشاريع مثل vLLM بالفعل Codex Security لاكتشاف المشكلات ومعالجتها ضمن عمليات سير العمل المعتاد لديها.
نخطط لتوسيع البرنامج خلال الأسابيع المقبلة حتى يتاح لعدد أكبر من القائمين على صيانة مشاريع المصدر المفتوح مسار مباشر نحو أمن أفضل، وعمليات مراجعة أقوى، ودعمٍ للعمل المفتوح المصدر الذي يعتمد عليه هذا النظام البيئي. وإذا كنت من القائمين على صيانة مشاريع المصدر المفتوح وتهتم بالانضمام، فيُرجى التواصل معنا.
سنقوم بطرح إمكانية الوصول إلى Codex Security لعملاء ChatGPT Enterprise وBusiness وEdu خلال الأيام القادمة. اطّلع على مستنداتنا(يفتح في نافذة جديدة) لمعرفة المزيد حول إعداد Codex Security لفريقك.
- تجاوز سعة المخزن المؤقت في الكومة في GnuTLS certtool (Off-by-One) — CVE-2025-32990(يفتح في نافذة جديدة)
- قراءة زائدة لمخزن مؤقت على الكومة في GnuTLS عند تحليل امتداد SCT — CVE-2025-32989(يفتح في نافذة جديدة)
- ثغرة Double-Free في GnuTLS عند تصدير otherName SAN — CVE-2025-32988(يفتح في نافذة جديدة)
- تجاوز 2FA GOGS — CVE-2025-64175(يفتح في نافذة جديدة)
- تجاوز المصادقة GOGS — CVE-2026-25242(يفتح في نافذة جديدة)
- اجتياز المسار (كتابة عشوائية) — download_ephemeral, download_children (وكيل) — CVE-2025-35430(يفتح في نافذة جديدة)
- حقن LDAP (عوامل التصفية & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(يفتح في نافذة جديدة)
- هجوم حجب الخدمة (DoS) غير مُصادَق عليه وإساءة استخدام البريد — resend_email_verification — CVE-2025-35432(يفتح في نافذة جديدة) , CVE-2025-35436(يفتح في نافذة جديدة)
- لم يتم تدوير الجلسة عند تغيير كلمة المرور — User::update_user — CVE-2025-35433(يفتح في نافذة جديدة)
- تم تعطيل التحقق من TLS — عميل Elasticsearch — CVE-2025-35434(يفتح في نافذة جديدة)
- DoS: القسمة على صفر — /api/streams/depth/.../{split} — CVE-2025-35435(يفتح في نافذة جديدة)
- تجاوز سعة مخزن مؤقت للمكدس في وكيل gpg عبر PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(يفتح في نافذة جديدة)
- تجاوز سعة المخزن المؤقت المستند إلى المكدس في TPM2 PKDECRYPT لـ RSA و ECC بسبب غياب التحقق من طول النص المشفّر — CVE-2026-24882(يفتح في نافذة جديدة)
- CMS/PKCS7 AES-GCM ASN.1 params تجاوز سعة مخزن مؤقت للمكدس - CVE-2025-15467(يفتح في نافذة جديدة)
- تجاوز سعة keyLength في PKCS#12 PBMAC1 PBKDF2 + تجاوز MAC — CVE-2025-11187(يفتح في نافذة جديدة)
متابعة القراءة
