Avui presentem Codex Security, el nostre agent de seguretat d'aplicacions. Crea un context profund del vostre projecte per identificar vulnerabilitats complexes que altres eines amb agents no detecten, i mostra troballes de més confiança amb correccions que milloren de manera significativa la seguretat del vostre sistema, alhora que us estalvien el soroll dels errors insignificants.
El context és essencial a l'hora d'avaluar riscos de seguretat reals, però la majoria d'eines de seguretat d'IA simplement marquen troballes de baix impacte i falsos positius, cosa que obliga els equips de seguretat a dedicar molt de temps al triatge. Alhora, els agents estan accelerant el desenvolupament de programari, fent que la revisió de seguretat sigui un coll d'ampolla cada vegada més crític. Codex Security aborda tots dos reptes. En combinar el raonament agentic dels nostres models d'avantguarda amb validació automatitzada, ofereix troballes d'alta confiança i correccions accionables perquè els equips puguin centrar-se en les vulnerabilitats que importen i publicar codi segur més ràpid.
Anteriorment conegut com a Aardvark, Codex Security va començar l'any passat com una beta privada amb un petit grup de clients. En els primers desplegaments interns, va detectar un SSRF real, una vulnerabilitat crítica d'autenticació entre llogaters i molts altres problemes que el nostre equip de seguretat va corregir en qüestió d'hores. Els primers desplegaments amb provadors externs ens van ajudar a millorar la manera com els usuaris proporcionen context de producte rellevant i passen de la incorporació a assegurar el seu codi. També vam millorar significativament la qualitat de les nostres troballes al llarg de la beta: els escaneigs dels mateixos repositoris al llarg del temps mostren una precisió creixent i, en un cas, van reduir el soroll un 84% des del desplegament inicial. Hem reduït la taxa de troballes amb severitat sobredimensionada en més d'un 90%, i les taxes de falsos positius en les deteccions han caigut més d'un 50% a tots els repositoris. Aquestes millores ajuden Codex Security a alinear millor la severitat informada amb el risc real i a reduir la càrrega de triatge innecessària per als equips de seguretat, i esperem que la relació senyal-soroll continuï millorant.
A partir d'avui, Codex Security es desplega en vista prèvia de recerca per als clients de ChatGPT Pro, Enterprise, Business i Edu a través del web de Codex, amb ús gratuït durant el mes vinent.
Codex Security aprofita els models d'avantguarda d'OpenAI i l'agent Codex. Pot reduir el soroll i accelerar la remediació ancorant la detecció, la validació i la correcció de vulnerabilitats en context específic del sistema.
- Construir el context del sistema i crear un model d'amenaces editable: Després de configurar un escaneig, analitza el vostre repositori per entendre l'estructura del sistema rellevant per a la seguretat i genera un model d'amenaces específic del projecte que pot reflectir què fa el sistema, en què confia i on està més exposat. Els models d'amenaces es poden editar per mantenir l'agent alineat amb el vostre equip.
- Prioritzar i validar problemes: Fent servir el model d'amenaces com a context, cerca vulnerabilitats i categoritza les troballes segons l'impacte real esperat al vostre sistema. Quan és possible, posa a prova les troballes en entorns de validació aïllats per distingir el senyal del soroll. Els usuaris poden veure aquesta anàlisi a les troballes validades. Quan Codex Security es configura amb un entorn adaptat al vostre projecte, pot validar directament possibles problemes en el context del sistema en execució. Aquesta validació més profunda pot reduir encara més els falsos positius i permetre crear proves de concepte funcionals, oferint als equips de seguretat evidències més sòlides i un camí més clar cap a la remediació.
- Corregir problemes amb tot el context del sistema: Finalment, Codex Security proposa correccions per als problemes descoberts que s'alineen amb la intenció del sistema i el comportament circumdant. Això permet correccions que poden millorar la seguretat alhora que minimitzen les regressions, fent-les més segures de revisar i integrar. Els usuaris poden filtrar les troballes perquè continuïn centrats en allò que més importa al seu equip i té l'impacte més alt en seguretat.
Codex Security també pot aprendre del vostre feedback amb el temps per millorar la qualitat de les seves troballes. Quan ajusteu la criticitat d'una troballa, pot fer servir aquest feedback per refinar el model d'amenaces i millorar la precisió en execucions posteriors a mesura que aprèn què importa a la vostra arquitectura i postura de risc.
Està dissenyat per operar a escala i mostrar les troballes de més confiança amb correccions fàcils d'acceptar. Durant els darrers 30 dies, Codex Security ha escanejat més d'1,2 milions de commits en repositoris externs de la nostra cohort beta, i ha identificat 792 troballes crítiques i 10.561 troballes d'alta severitat. Els problemes crítics van aparèixer en menys del 0,1% dels commits escanejats, cosa que demostra que el sistema pot identificar problemes que afecten la seguretat en grans volums de codi mentre minimitza el soroll per als revisors.
«Com a empresa absolutament centrada en la seguretat del producte, a NETGEAR ens va complaure unir-nos al programa d'accés anticipat, i els resultats van superar les expectatives. Codex Security es va integrar sense esforç al nostre sòlid entorn de desenvolupament de seguretat, reforçant el ritme i la profunditat dels nostres processos de revisió. Les seves troballes eren impressionantment clares i exhaustives, i sovint feien la sensació que un investigador experimentat en seguretat de producte treballava al nostre costat.»
El programari de codi obert constitueix la base dels sistemes moderns, inclosos els nostres. Hem estat utilitzant Codex Security per escanejar els repositoris de codi obert dels quals més depenem, compartint amb els mantenidors les troballes de seguretat d'alt impacte que identifiquem per ajudar a reforçar aquesta base.
En les nostres converses amb mantenidors, va sorgir un tema constant: el repte no és la manca d'informes de vulnerabilitats, sinó l'excés d'informes de baixa qualitat. Els mantenidors ens van dir que necessiten menys falsos positius i una manera més sostenible de fer aflorar problemes de seguretat reals sense crear una càrrega addicional de triatge. Aquestes converses van ajudar a donar forma a com estem donant suport a la comunitat de codi obert amb Codex Security. En lloc de generar grans volums de troballes especulatives, estem construint un sistema que prioritza problemes d'alta confiança sobre els quals els mantenidors poden actuar ràpidament.
Com a part d'aquest treball, vam informar de vulnerabilitats crítiques a diversos projectes de codi obert àmpliament utilitzats, com ara OpenSSH(s'obre en una finestra nova), GnuTLS(s'obre en una finestra nova), GOGS(s'obre en una finestra nova), Thorium(s'obre en una finestra nova) libssh, PHP i Chromium, entre d'altres. S'han assignat catorze CVE amb doble notificació en dos casos: n'hem compartit alguns exemples a l'apèndix.
Fa poc vam començar a incorporar una cohort inicial de mantenidors de codi obert a Codex for OSS, el nostre programa per donar suport a l'ecosistema amb comptes gratuïts de ChatGPT Pro i Plus, revisió de codi i Codex Security. Projectes com vLLM ja han utilitzat Codex Security per trobar i corregir problemes com a part del seu flux de treball habitual.
Tenim previst ampliar el programa durant les properes setmanes perquè més mantenidors tinguin una via directa cap a una millor seguretat, fluxos de revisió més sòlids i suport per a la feina de codi obert de la qual depèn l'ecosistema. Si sou mantenidor de codi obert i us interessa, poseu-vos en contacte amb nosaltres.
Desplegarem l'accés a Codex Security per als clients de ChatGPT Enterprise, Business i Edu durant els pròxims dies. Consulteu la nostra documentació(s'obre en una finestra nova) per obtenir més informació sobre com configurar Codex Security per al vostre equip.
Exemples de vulnerabilitats OSS d'alt impacte descobertes per Codex Security:
- Desbordament de memòria intermèdia heap a certtool de GnuTLS (off-by-one) — CVE-2025-32990(s'obre en una finestra nova)
- Lectura excessiva de memòria intermèdia heap a GnuTLS en l'anàlisi de l'extensió SCT — CVE-2025-32989(s'obre en una finestra nova)
- Double-free a GnuTLS en l'exportació de SAN otherName — CVE-2025-32988(s'obre en una finestra nova)
- Evasió de 2FA a GOGS — CVE-2025-64175(s'obre en una finestra nova)
- Evasió no autenticada a GOGS — CVE-2026-25242(s'obre en una finestra nova)
- Recorregut de camins (escriptura arbitrària) — download_ephemeral, download_children (agent) — CVE-2025-35430(s'obre en una finestra nova)
- Injecció LDAP (filtres i DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(s'obre en una finestra nova)
- DoS no autenticat i abús de correu — resend_email_verification — CVE-2025-35432(s'obre en una finestra nova) , CVE-2025-35436(s'obre en una finestra nova)
- La sessió no es renova en canviar la contrasenya — User::update_user — CVE-2025-35433(s'obre en una finestra nova)
- Verificació TLS desactivada — client d'Elasticsearch — CVE-2025-35434(s'obre en una finestra nova)
- DoS: divisió per zero — /api/streams/depth/.../{split} — CVE-2025-35435(s'obre en una finestra nova)
- Desbordament de memòria intermèdia de pila a gpg-agent mitjançant PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(s'obre en una finestra nova)
- Desbordament de memòria intermèdia basat en pila a TPM2 PKDECRYPT per a RSA i ECC per manca de validació de la longitud del text xifrat — CVE-2026-24882(s'obre en una finestra nova)
- Desbordament de memòria intermèdia de pila als paràmetres ASN.1 d'AES-GCM de CMS/PKCS7 — CVE-2025-15467(s'obre en una finestra nova)
- Desbordament de keyLength a PKCS#12 PBMAC1 PBKDF2 + evasió de MAC — CVE-2025-11187(s'obre en una finestra nova)
