Codex Security je nyní k dispozici jako náhledová verze pro výzkumné pracovníky.
Dnes představujeme Codex Security, našeho agenta pro zabezpečení aplikací. Vytvoří si hluboký kontext vašeho projektu tak, aby mohl identifikoval komplexní zranitelnosti, které jiné nástroje přehlédnou. Přináší nálezy s vyšší jistotou a opravy, které zvyšují zabezpečení vašeho systému, aniž by vás zatěžoval bezvýznamnými chybami.
Kontext je zásadní při vyhodnocování skutečných bezpečnostních rizik, ale většina nástrojů pro zabezpečení AI pouze označuje zjištění s nízkým dopadem a falešně pozitivní nálezy a bezpečnostní týmy tak musí trávit značné množství času tříděním. Agenti zároveň zrychlují vývoj softwaru, a bezpečnostní revize jsou tak stále zásadnějším úzkým místem.
Codex Security se zaměřuje na obě výzvy. Kombinací agentního uvažování našich průkopnických modelů s automatizovaným ověřováním poskytuje vysoce spolehlivá zjištění a prakticky použitelné opravy, aby se týmy mohly soustředit na zranitelnosti, na kterých záleží, a rychleji dodávat bezpečný kód.
Aplikace Codex Security, dříve známá jako Aardvark, začala v loňském roce jako privátní beta verze s malou skupinou zákazníků. Během prvních interních nasazení objevila skutečnou zranitelnost typu SSRF (falšování požadavků na straně serveru), zásadní bezpečnostní slabinu v autentizaci mezi tenanty a mnoho dalších problémů, které náš bezpečnostní tým opravil během několika hodin. První nasazení s externími testery nám pomohla zlepšit způsob, jakým uživatelé poskytují relevantní kontext o produktu a jak přecházejí od úvodního nastavení k zabezpečení svého kódu. Ve fázi beta verze jsme také výrazně zlepšili kvalitu našich zjištění: skeny stejných úložišť v průběhu času vykazují rostoucí přesnost, v jednom případě se od prvního zavedení podařilo snížit šum o 84 %. Snížili jsme míru nálezů s nadhodnocenou závažností o více než 90 % a míra falešně pozitivních výsledků u detekcí klesla v rámci všech úložišť o více než 50 %. Tato vylepšení pomáhají aplikaci Codex Security lépe sladit hlášenou závažnost s rizikem v reálném světě a snížit zbytečnou zátěž pro bezpečnostní týmy spojenou s tříděním podle priorit. Očekáváme, že se poměr signálu k šumu bude s dalšími investicemi nadále zlepšovat.
Od dneška zavádíme Codex Security pro zákazníky ChatGPT Enterprise, Business a Edu prostřednictvím webu Codex s bezplatným využitím na příští měsíc.
Codex Security využívá průkopnické modely OpenAI a agenta Codex. Může snížit šum a urychlit nápravu tím, že objevování zranitelností, jejich ověřování a opravování vychází z ukotvení v konkrétním kontextu pro daný systém.
- Vytvářet systémový kontext a vytvořit upravitelný model hrozeb: Po nakonfigurování skenování analyzuje vaše úložiště s cílem pochopit bezpečnostně relevantní strukturu systému a vygeneroval pro projekt specifický model hrozeb, který dokáže zachytit, co systém dělá, čemu důvěřuje a kde je nejvíce ohrožen. Modely hrozeb lze upravovat, aby agent zůstal v souladu s vaším týmem.
- Upřednostněte a ověřte problémy: Pomocí modelu hrozeb jako kontextu vyhledává zranitelnosti a kategorizuje zjištění na základě očekávaného dopadu v reálném světě do vašeho systému. Kde je to možné, zátěžově testuje zjištění v sandboxových validačních prostředích, aby oddělil signál od šumu. Uživatelé si mohou tuto analýzu prohlédnout v ověřených zjištěních. Pokud je Codex Security nakonfigurován s prostředím přizpůsobeným tvému projektu, může ověřovat potenciální problémy přímo v kontextu běžícího systému. Tato hlubší validace může ještě více snížit počet falešně pozitivních výsledků a umožnit vytváření funkčních důkazů konceptu, čímž bezpečnostním týmům poskytne silnější důkazy a jasnější cestu k nápravě.
- Opravit problémy s úplným systémovým kontextem: Nakonec Codex Security navrhne opravy zjištěných problémů, které jsou v souladu se záměrem systému a okolním chováním. Umožní to vznik záplat, které mohou zlepšit zabezpečení a zároveň minimalizovat regrese, takže je bezpečnější je kontrolovat a nasazovat. Uživatelé mohou filtrovat zjištění, aby se mohli soustředit na to, co je pro jejich tým nejdůležitější a má největší dopad na zabezpečení.
Codex Security se také může postupem času učit z vaší zpětné vazby, a zlepšovat tak kvalitu svých zjištění. Když upravíš závažnost nálezu, může tuto zpětnou vazbu využít k upřesnění modelu ohrožení a zlepšení přesnosti při dalších spuštěních, protože se učí, na čem záleží ve tvé architektuře a rizikovém profilu.
Je navržený pro provoz ve velkém měřítku a k odhalování nálezy s maximální mírou jistoty spolu se snadno přijatelnými opravami. Během posledních 30 dní Codex Security analyzoval více než 1,2 milionu commitů v externích repozitářích zapojených do beta testování a odhalil 792 kritických zjištění a 10 561 zjištění s vysokou závažností. Kritické problémy se objevily u méně než 0,1 % naskenovaných commitů, což ukazuje, že systém dokáže identifikovat problémy se zabezpečením ve velkých objemech kódu a zároveň minimalizovat šum pro kontrolory.
Jako společnost zaměřená na zabezpečení produktů se NETGEAR s potěšením zapojil do programu přednostního přístupu a výsledky předčily očekávání. Codex Security se bezproblémově integroval do našeho robustního prostředí pro vývoj zabezpečení a posílil tempo i hloubku našich kontrolních procesů. Jeho zjištění byla úžasně jasná a komplexní, často vzbuzovala dojem, že po našem boku pracuje zkušený výzkumník zabezpečení produktů.
Open source software tvoří základ moderních systémů, včetně našich vlastních. Codex Security používáme ke skenování open-source úložišť, na která se nejvíce spoléháme, a sdílíme s jejich správci vysoce závažná bezpečnostní zjištění, která identifikujeme, abychom posilovali jejich základy.
V našich rozhovorech se správci se opakovaně objevovalo jedno téma: problémem není nedostatek hlášení zranitelností, ale příliš mnoho nekvalitních. Správci nám řekli, že potřebují méně falešně pozitivních nálezů a udržitelnější způsob, jak odhalovat skutečné bezpečnostní problémy bez vytvářelo další zátěž při třídění. Tyto rozhovory nám pomohly formovat podporu open source komunity prostřednictvím Codex Security. Namísto generování velkých objemů spekulativních zjištění budujeme systém, který upřednostňuje problémy s vysokou mírou jistoty, na které mohou správci rychle reagovat.
V rámci této práce jsme oznámili zásadní zranitelnosti řadě široce používaných open-source projektů, včetně OpenSSH(otevře se v novém okně), GnuTLS(otevře se v novém okně), GOGS(otevře se v novém okně), Thorium(otevře se v novém okně) libssh, PHP a Chromium a dalších. Bylo přiřazeno čtrnáct kritických zranitelností, přičemž u dvou došlo k dvojímu nahlášení, několik příkladů jsme sdíleli v Příloze.
Nedávno jsme začali zapojovat první skupinu správců open-source projektů do Codex for OSS, našeho programu na podporu ekosystému prostřednictvím bezplatných účtů ChatGPT Pro a ChatGPT Plus, kontroly kódu a Codex Security. Projekty jako vLLM už používaly Codex Security k nalezení a opravě problémů jako součást svého běžného pracovního postupu.
V nadcházejících týdnech plánujeme program rozšířit, aby více správců mělo přímou cestu k lepšímu zabezpečení, efektivnějším kontrolním procesům a podpoře práce s otevřeným zdrojovým kódem, na které je ekosystém závislý. Pokud jsi správce open source projektu a máš zájem, ozvi se nám.
V nadcházejících dnech zpřístupníme Codex Security zákazníkům ChatGPT Enterprise, Business a Edu. Podívej se do naší dokumentace(otevře se v novém okně) a zjisti víc o nastavení Codex Security pro svůj tým.
- GnuTLS certtool přetečení vyrovnávací paměti na haldě (off-by-one) — CVE-2025-32990(otevře se v novém okně)
- Čtení za hranicemi vyrovnávací paměti na haldě v GnuTLS při parsování rozšíření SCT — CVE-2025-32989(otevře se v novém okně)
- Dvojité uvolnění paměti v GnuTLS při exportu SAN otherName — CVE-2025-32988(otevře se v novém okně)
- Obejití dvoufázového ověření GOGS — CVE-2025-64175(otevře se v novém okně)
- Obejití ověřování GOGS — CVE-2026-25242(otevře se v novém okně)
- Průchod cestou (libovolný zápis) – download_ephemeral, download_children (agent) – CVE-2025-35430(otevře se v novém okně)
- LDAP injektáž (filtry & DN) – LdapUserMap::new / get_unix_info / basic_auth_ldap – CVE-2025-35431(otevře se v novém okně)
- Neautentizovaný DoS a zneužití e-mailu – resend_email_verification – CVE-2025-35432(otevře se v novém okně) , CVE-2025-35436(otevře se v novém okně)
- Relace se neotočila při změně hesla – User::update_user – CVE-2025-35433(otevře se v novém okně)
- Zakázané ověřování TLS – klient Elasticsearch – CVE-2025-35434(otevře se v novém okně)
- DoS: dělení nulou – /api/streams/depth/.../{split} — CVE-2025-35435(otevře se v novém okně)
- Přetečení vyrovnávací paměti na zásobníku gpg-agent prostřednictvím PKDECRYPT --kem=CMS (ECC KEM) – CVE-2026-24881(otevře se v novém okně)
- Přetečení vyrovnávací paměti na zásobníku v TPM2 PKDECRYPT pro RSA a ECC kvůli chybějící validaci délky šifrového textu – CVE-2026-24882(otevře se v novém okně)
- Parametry CMS/PKCS7 AES-GCM ASN.1 přetečení vyrovnávací paměti na zásobníku – CVE-2025-15467(otevře se v novém okně)
- PKCS#12 PBMAC1 PBKDF2 přetečení klíčové délky + obejití MAC – CVE-2025-11187(otevře se v novém okně)
