Codex Security вече е наличен като изследователски преглед

Днес представяме Codex Security, нашия агент за сигурност на приложенията. Той изгражда задълбочен контекст за Вашия проект, за да засече сложни пропуски в сигурността, които други агентни инструменти пропускат, извеждайки на преден план констатации с по-висока степен на увереност и поправки, които осезаемо подобряват сигурността на Вашата система, като същевременно Ви спестяват шума от незначителни бъгове.

Контекстът е от съществено значение при оценката на реалните рискове за сигурността, но повечето инструменти за сигурност на ИИ просто маркират констатации с ниско въздействие и фалшиви положителни резултати, принуждавайки екипите по сигурността да отделят значително време за триаж. В същото време агентите ускоряват разработването на софтуер, което прави прегледа на сигурността все по-критично затруднение.

Codex Security се справя и с двете предизвикателства. Като съчетава структурирано анализиране от нашите авангардни модели с автоматизирана проверка, той предоставя надеждни констатации и приложими поправки, така че екипите да могат да се фокусират върху важните пропуски и да създадат защитен код по-бързо.

По-рано известен като Aardvark⁠, Codex Security стартира миналата година като частна бета версия с малка група клиенти. При ранни вътрешни внедрявания бяха разкрити реално фалшифициране на заявки от страна на сървъра, критичен риск за удостоверяване между наематели и много други проблеми, които нашият екип по сигурността коригира в рамките на часове. Ранните внедрявания с външни проверяващи ни помогнаха да подобрим начина, по който потребителите предоставят уместен продуктов контекст и преминават от въвеждането към защитата на своя код. Също така значително подобрихме качеството на нашите констатации в хода на бета версията: сканиранията на едни и същи хранилища с течение на времето показват нарастваща прецизност, като в един случай намалихме шума с 84% от първоначалното внедряване.  Намалихме процента на констатациите с прекомерно докладвана сериозност с повече от 90%, а процентът на фалшивите положителни резултати при засичанията е спаднал с повече от 50% във всички хранилища. Тези подобрения помагат на Codex Security да съгласува по-добре докладваната сериозност с реалния риск и да намали ненужната тежест от триаж за екипите по сигурността, като очакваме съотношението между сигнализиране и шум да продължи да се подобрява с по-нататъшното развитие.

От днес започваме да внедряваме Codex Security за клиентите на ChatGPT Enterprise, Business и Edu чрез Codex web с безплатен достъп през следващия месец.

Codex Security използва авангардните модели на OpenAI и агента на Codex. То може да намали шума и да ускори отстраняването на проблеми, като базира откриването на рискове, тяхната проверка и прилагането на корекции в контекста на конкретната система.

1. Изграждане на системен контекст и създаване на модел на заплахите, който може да се редактира: След конфигуриране на сканиране той анализира Вашето хранилище, за да разбере структурата на системата, от значение за сигурността, и генерира специфичен за проекта модел на заплахата, който може да установи какво прави системата, на какво се доверява и къде е най-изложена на риск. Моделите на заплахи могат да се редактират, за да се поддържа съгласуваността на агента с Вашия екип.
2. Приоритизиране и проверка на проблемите: Използвайки модела на заплахите като контекст, той търси уязвимости и категоризира констатациите въз основа на очакваното реално въздействие върху Вашата система. Когато е възможно, той подлага констатациите на критична проверка в изолирани тестови среди за проверка, за да разграничи сигнала от шума. Потребителите могат да видят този анализ в потвърдените констатации. Когато Codex Security е конфигуриран със среда, съобразена с Вашия проект, той може да потвърди потенциални проблеми директно в контекста на работещата система. Тази по-задълбочена проверка може да намали фалшивите положителни резултати още повече и да позволи създаването на работещи прототипи, като предостави на екипите по сигурността по-силни доказателства и по-ясен път към отстраняване.
3. Пачване на проблеми с пълен системен контекст: Накрая Codex Security предлага корекции на откритите проблеми, които са в съответствие с предназначението на системата и поведението в околния контекст. Това позволява корекции, които могат да подобрят сигурността, като същевременно минимизират регресиите, което ги прави по-безопасни за проверка и внедряване. Потребителите могат да филтрират констатациите, за да останат фокусирани върху това, което е най-важно за екипа им и което има най-голямо въздействие върху сигурността.

Codex Security може също така да се учи от Вашата обратна връзка с течение на времето, за да подобри качеството на своите констатации. Когато коригирате критичността на констатация, Codex може да използва тази обратна връзка, за да усъвършенства модела на заплахите и да подобри прецизността при следващи изпълнения, докато се учи какво е важно във Вашата архитектура и рисков профил.

Проектиран е за работа в голям мащаб и за извеждане на откритията с най-висока степен на увереност с лесни за приемане пачове. През последните 30 дни Codex Security е сканирал над 1,2 милиона комита във външни хранилища в нашата бета група, като идентифицира 792 критични констатации и 10 561 констатации с висока степен на сериозност. Критични проблеми се появиха в под 0,1% от сканираните комити, което показва, че системата може да идентифицира проблеми със сигурността с въздействие в големи обеми код, като същевременно минимизира шума за преглеждащите.

Софтуерът с отворен код е в основата на съвременните системи, включително и на нашите. Използваме Codex Security, за да сканираме хранилищата с отворен код, на които разчитаме най-много, като споделяме с администраторите съществените разкрития в областта на сигурността, които идентифицираме, за да укрепим тази основа.

В разговорите ни с отговорниците за поддръжката се очерта една последователна тема: предизвикателството не е липсата на доклади за пропуски, а твърде многото нискокачествени такива. Отговорниците за поддръжката ни казаха, че им трябват по-малко фалшиви положителни резултати и по-устойчив начин да разкриват реални проблеми със сигурността, без да създават допълнително натоварване по триаж. Тези разговори помогнаха да оформим начина, по който подкрепяме общността с отворен код с Codex Security. Вместо да генерираме големи обеми от спекулативни констатации, ние изграждаме система, която дава приоритет на проблеми с висока степен на увереност, по които отговорниците за поддръжката могат да предприемат бързи действия.

Като част от тази работа докладвахме критични пропуски на редица широко използвани проекти с отворен код, включително OpenSSH⁠(отваря се в нов прозорец), GnuTLS⁠(отваря се в нов прозорец), GOGS⁠(отваря се в нов прозорец), Thorium⁠(отваря се в нов прозорец) libssh, PHP и Chromium, и други. На четиринадесет CVE са присвоени номера, като за два има двойно докладване – споделихме някои примери в Приложението.

Наскоро започнахме да въвеждаме в Codex за OSS първоначалната група отговорници за поддръжката на софтуер с отворен код. Codex за OSS е нашата програма за подкрепа на екосистемата с безплатни акаунти за ChatGPT Pro и Plus, преглед на кода и Codex Security. Проекти като vLLM вече са използвали Codex Security, за да намират и пачват проблеми като част от нормалния си работен процес.

Планираме да разширим програмата през идните седмици, така че повече отговорници за поддръжката да имат пряк достъп до по-добра сигурност, по-стабилни работни потоци за преглед и подкрепа за работата с отворен код, от която зависи екосистемата. Ако сте отговорници за поддръжката, работещ с отворен код, и проявявате интерес, моля, свържете се с нас⁠.

През следващите дни ще започнем да предоставяме достъп до Codex Security на клиентите на ChatGPT Enterprise, Business и Edu. Разгледайте нашата документация⁠(отваря се в нов прозорец), за да научите повече за настройването на Codex Security за Вашия екип.

• GnuTLS certtool Преливане на буфер в купчина (Off-by-One) — CVE-2025-32990⁠(отваря се в нов прозорец)
• GnuTLS Прекомерно четене на буфер в купчина при парсване на SCT разширение — CVE-2025-32989⁠(отваря се в нов прозорец)
• GnuTLS Двойно освобождаване на памет при експортиране на otherName SAN — CVE-2025-32988⁠(отваря се в нов прозорец)
• Заобикаляне на 2FA в GOGS — CVE-2025-64175⁠(отваря се в нов прозорец)
• Неоторизиран обход в GOGS — CVE-2026-25242⁠(отваря се в нов прозорец)
• Обхождане на пътища (произволен запис) — download_ephemeral, download_children (агент) — CVE-2025-35430⁠(отваря се в нов прозорец)
• LDAP инжектиране (филтри & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(отваря се в нов прозорец)
• Неудостоверена DoS атака и злоупотреба с поща — resend_email_verification — CVE-2025-35432⁠(отваря се в нов прозорец) , CVE-2025-35436⁠(отваря се в нов прозорец)
• Сесията не е ротирана при промяна на паролата — User::update_user — CVE-2025-35433⁠(отваря се в нов прозорец)
• Деактивирана проверка на TLS — клиент на Elasticsearch — CVE-2025-35434⁠(отваря се в нов прозорец)
• DoS: деление на нула — /api/streams/depth/.../{split} — CVE-2025-35435⁠(отваря се в нов прозорец)
• gpg-agent Преливане на стеков буфер чрез PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-2488⁠(отваря се в нов прозорец)
• Препълване на стеков буфер в TPM2 PKDECRYPT за RSA и ECC поради липсваща проверка на дължината на шифротекста — CVE-2026-24882⁠(отваря се в нов прозорец)
• CMS/PKCS7 AES-GCM ASN.1 параметри: препълване на стеков буфер — CVE-2025-15467⁠(отваря се в нов прозорец)
• PKCS#12 PBMAC1 PBKDF2 препълване на keyLength + заобикаляне на MAC — CVE-2025-11187⁠(отваря се в нов прозорец)