Danas predstavljamo Codex Sigurnost, našeg agenta za sigurnost aplikacija. Gradi duboki kontekst o vašem projektu kako bi identificirao složene ranjivosti koje drugi agentni alati propuštaju, iznoseći nalaze s većim stepenom pouzdanosti uz popravke koji smisleno poboljšavaju sigurnost vašeg sistema, a pritom vas pošteđuju šuma beznačajnih grešaka.
Kontekst je ključan pri procjeni stvarnih sigurnosnih rizika, ali većina AI sigurnosnih alata jednostavno označava nalaze s malim uticajem i lažno pozitivne rezultate, prisiljavajući sigurnosne timove da troše značajno vrijeme na trijažu. Istovremeno, agenti ubrzavaju razvoj softvera, čineći sigurnosni pregled sve kritičnijim uskim grlom.
Codex sigurnost rješava oba izazova. Kombinovanjem rezonovanja agenata iz naših graničnih modela s automatizovanom validacijom, pruža nalaze s visokim stepenom pouzdanosti i primjenjive ispravke, omogućavajući timovima da se fokusiraju na važne ranjivosti i brže isporučuju siguran kod.
Ranije poznat kao Aardvark, Codex Security je prošle godine započeo kao privatna beta verzija s malom grupom korisnika. U ranim internim implementacijama, otkriven je stvarni SSRF, kritična cross-tenant ranjivost autentifikacije i mnogi drugi problemi koje je naš sigurnosni tim zakrpao u roku od nekoliko sati. Rana uvođenja s vanjskim testerima pomogla su nam da poboljšamo način na koji korisnici pružaju relevantan kontekst proizvoda i pređu s uvođenja na osiguravanje svog koda. Također smo značajno poboljšali kvalitet naših nalaza tokom beta perioda: skeniranja na istim repozitorijima tokom vremena pokazuju sve veću preciznost, u jednom slučaju smanjujući šum za 84% od početnog uvođenja. Smanjili smo stopu nalaza s precijenjenom ozbiljnošću za više od 90%, a stope lažno pozitivnih rezultata na detekcijama pale su za više od 50% u svim repozitorijima. Ova poboljšanja pomažu Codex Securityju da bolje uskladi prijavljenu ozbiljnost s rizikom iz stvarnog svijeta i smanji nepotrebno opterećenje trijaže za sigurnosne timove, a očekujemo da će se omjer signal-šum nastaviti poboljšavati uz daljnja ulaganja.
Počevši od danas, Codex Security uvodimo za korisnike ChatGPT Enterprise, Business i Edu putem Codex weba, uz besplatno korištenje tokom sljedećeg mjeseca.
Codex Security koristi OpenAI-jeve granične modele i Codex agent. Može smanjiti šum i ubrzati sanaciju zasnivanjem otkrivanja ranjivosti, validacije i zakrpa na uzemljenju u kontekstu specifičnom za sistem.
- Izgradite kontekst sistema i kreirajte uređiv model prijetnji: Nakon konfiguriranja skeniranja, analizira vaš repozitorij kako bi razumio sigurnosno relevantnu strukturu sistema i generira projektno specifičan model prijetnji koji može obuhvatiti šta sistem radi, čemu vjeruje i gdje je najviše izložen. Modeli prijetnji se mogu uređivati kako bi agent ostao usklađen s vašim timom.
- Odredite prioritete i validirajte probleme: Koristeći model prijetnji kao kontekst, pretražuje ranjivosti i kategorizira nalaze na osnovu očekivanog uticaja u stvarnom svijetu u vašem sistemu. Gdje god je moguće, provjerava nalaze pod pritiskom u sandbox okruženjima za validaciju kako bi razdvojio signal od šuma. Korisnici mogu vidjeti ovu analizu u validiranim nalazima. Kada je Codex Security konfiguriran s okruženjem prilagođenim vašem projektu, može validirati potencijalne probleme direktno u kontekstu pokrenutog sistema. Ta dublja validacija može još više smanjiti lažno pozitivne nalaze i omogućiti izradu funkcionalnih dokaza koncepta, dajući sigurnosnim timovima snažnije dokaze i jasniji put ka sanaciji.
- Popravljanje problema s punim kontekstom sistema: Konačno, Codex Security predlaže ispravke za otkrivene probleme koje su usklađene s namjerom sistema i okolnim ponašanjem. Ovo omogućava zakrpe koje mogu poboljšati sigurnost uz minimiziranje regresija, čineći ih sigurnijim za pregled i uvrštavanje. Korisnici mogu filtrirati nalaze kako bi ostali fokusirani na ono što je najvažnije za njihov tim i ima najveći sigurnosni uticaj.
Codex Security također može učiti iz vaših povratnih informacija tokom vremena kako bi poboljšao kvalitet svojih nalaza. Kada prilagodite kritičnost nalaza, može iskoristiti te povratne informacije da usavrši model prijetnji i poboljša preciznost u narednim pokretanjima, kako uči šta je važno u vašoj arhitekturi i profilu rizika.
Dizajniran je za rad u velikoj mjeri i isticanje otkrića s najvećim stepenom pouzdanosti uz zakrpe koje je lako prihvatiti. Tokom posljednjih 30 dana, Codex Security je skenirao više od 1,2 miliona commit-ova u eksternim repozitorijima u našoj beta kohorti, identificirajući 792 kritična nalaza i 10,561 nalaz visoke ozbiljnosti. Kritični problemi su se pojavili u manje od 0.1% skeniranih commit-ova, što pokazuje da sistem može identificirati probleme koji utiču na sigurnost u velikim količinama koda uz minimiziranje šuma za recenzente.
„Kao kompanija koja je izuzetno fokusirana na sigurnost proizvoda, NETGEAR je sa zadovoljstvom pristupio programu ranog pristupa, a rezultati su premašili očekivanja. Codex Security se bez napora integrirao u naše robusno okruženje za razvoj sigurnosti, jačajući tempo i dubinu naših procesa pregleda. Njegovi nalazi bili su impresivno jasni i sveobuhvatni, često dajući osjećaj da iskusni istraživač sigurnosti proizvoda radi zajedno s nama.”
Softver otvorenog koda čini temelj modernih sistema, uključujući i naše. Koristimo Codex Security za skeniranje open-source repozitorija na koje se najviše oslanjamo, dijeleći sigurnosne nalaze s velikim utjecajem koje identificiramo s održavateljima kako bismo pomogli ojačati tu osnovu.
U našim razgovorima s održavateljima, pojavila se dosljedna tema: izazov nije nedostatak prijava ranjivosti, već previše nekvalitetnih. Održavatelji su nam rekli da im treba manje lažno pozitivnih rezultata i održiviji način da se otkriju stvarni sigurnosni problemi bez stvaranja dodatnog opterećenja za trijažu. Ovi razgovori su pomogli oblikovati način na koji podržavamo zajednicu otvorenog koda uz Codex Security. Umjesto generiranja velikih količina spekulativnih nalaza, gradimo sistem koji daje prioritet problemima s visokim stepenom pouzdanosti na koje održavatelji mogu brzo reagirati.
Kao dio ovog rada, prijavili smo kritične ranjivosti brojnim široko korištenim open-source projektima, uključujući OpenSSH(otvara se u novom prozoru), GnuTLS(otvara se u novom prozoru), GOGS(otvara se u novom prozoru), Thorium(otvara se u novom prozoru) libssh, PHP, Chromium, i još mnogo toga. Četrnaest CVE-a je dodijeljeno, uz dvostruko prijavljivanje za dva — podijelili smo neke primjere u Dodatku.
Nedavno smo započeli uključivanje početne kohorte održavatelja open-source projekata u Codex za OSS, naš program za podršku ekosistemu uz besplatne ChatGPT Pro i ChatGPT Plus račune, pregled koda i Codex sigurnost. Projekti poput vLLM-a već su koristili Codex Sigurnost kako bi pronašli i zakrpili probleme kao dio svog uobičajenog radnog toka.
Planiramo proširiti program u narednim sedmicama kako bi više održavatelja imalo direktan put ka boljoj sigurnosti, snažnijim tokovima rada za pregled i podršci za open-source rad od kojeg ekosistem zavisi. Ako ste održavatelj open-source projekata i zainteresirani, molimo vas da nam se javite.
U narednim danima ćemo uvoditi pristup Codex Security za korisnike ChatGPT Enterprise, Business i Edu. Pogledajte našu dokumentaciju(otvara se u novom prozoru) da saznate više o postavljanju Codex Security za vaš tim.
- GnuTLS certtool Prelijevanje heap-buffera (Off-by-One) — CVE-2025-32990(otvara se u novom prozoru)
- GnuTLS prekomjerno čitanje heap bafera pri parsiranju SCT ekstenzije — CVE-2025-32989(otvara se u novom prozoru)
- GnuTLS Double-Free u otherName SAN izvozu — CVE-2025-32988(otvara se u novom prozoru)
- 2FA Zaobilaženje GOGS — CVE-2025-64175(otvara se u novom prozoru)
- Neautorizovano zaobilaženje GOGS — CVE-2026-25242(otvara se u novom prozoru)
- Prolazak kroz putanju (proizvoljno pisanje) — download_ephemeral, download_children (agent) — CVE-2025-35430(otvara se u novom prozoru)
- LDAP ubrizgavanje (filteri & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(otvara se u novom prozoru)
- Neautentifikovani DoS & zloupotreba e-pošte — resend_email_verification — CVE-2025-35432(otvara se u novom prozoru) , CVE-2025-35436(otvara se u novom prozoru)
- Sesija nije rotirana pri promjeni lozinke — User::update_user — CVE-2025-35433(otvara se u novom prozoru)
- Onemogućena TLS verifikacija — Elasticsearch client — CVE-2025-35434(otvara se u novom prozoru)
- DoS: dijeljenje s nulom — /api/streams/depth/.../{split} — CVE-2025-35435(otvara se u novom prozoru)
- gpg-agent stack buffer overflow preko PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(otvara se u novom prozoru)
- Prelijevanje bafera zasnovano na steku u TPM2 PKDECRYPT za RSA i ECC zbog nedostajuće validacije dužine šifroteksta — CVE-2026-24882(otvara se u novom prozoru)
- CMS/PKCS7 AES-GCM ASN.1 parametri stack buffer overflow — CVE-2025-15467(otvara se u novom prozoru)
- PKCS#12 PBMAC1 PBKDF2 prelijevanje keyLength + zaobilaženje MAC-a — CVE-2025-11187(otvara se u novom prozoru)
