Το Codex Security είναι τώρα διαθέσιμο ως προεπισκόπηση έρευνας

Σήμερα παρουσιάζουμε το Codex Security, τον πράκτορα ασφάλειας εφαρμογών μας. Δημιουργεί βαθύ θεματικό πλαίσιο για το έργο σας ώστε να εντοπίζει σύνθετες ευπάθειες που άλλα εργαλεία με πράκτορα δεν ανιχνεύουν, προβάλλοντας ευρήματα υψηλότερης αξιοπιστίας μαζί με διορθώσεις που βελτιώνουν ουσιαστικά την ασφάλεια του συστήματός σας, χωρίς να σας επιβαρύνουν με τον θόρυβο ασήμαντων σφαλμάτων.

Το θεματικό πλαίσιο είναι κρίσιμο όταν αξιολογούνται πραγματικοί κίνδυνοι ασφάλειας, όμως τα περισσότερα εργαλεία ασφάλειας ΤΝ απλώς επισημαίνουν ευρήματα χαμηλής επίδρασης και ψευδώς θετικά αποτελέσματα, αναγκάζοντας τις ομάδες ασφάλειας να αφιερώνουν σημαντικό χρόνο στη διαλογή τους. Την ίδια στιγμή, οι πράκτορες επιταχύνουν την ανάπτυξη λογισμικού, καθιστώντας τον έλεγχο ασφάλειας ολοένα και πιο κρίσιμο σημείο συμφόρησης.

Το Codex Security αντιμετωπίζει και τις δύο αυτές προκλήσεις. Συνδυάζοντας τη συλλογιστική με πράκτορα από τα κορυφαία μοντέλα μας με την αυτοματοποιημένη επαλήθευση, προσφέρει ευρήματα υψηλής αξιοπιστίας και εφαρμόσιμες διορθώσεις, ώστε οι ομάδες να επικεντρώνονται στις ευπάθειες που έχουν πραγματική σημασία και να κυκλοφορούν ασφαλή κώδικα ταχύτερα.

Παλαιότερα γνωστό ως Aardvark⁠, το Codex Security ξεκίνησε πέρσι ως ιδιωτική beta με μια μικρή ομάδα πελατών. Σε πρώιμες εσωτερικές αναπτύξεις εντόπισε μια πραγματική ευπάθεια SSRF, μια κρίσιμη ευπάθεια ελέγχου ταυτότητας μεταξύ διαφορετικών tenant, καθώς και πολλά ακόμη ζητήματα, τα οποία η ομάδα ασφάλειάς μας διόρθωσε μέσα σε λίγες ώρες. Οι πρώτες εφαρμογές σε εξωτερικούς δοκιμαστές μάς βοήθησαν επίσης να βελτιώσουμε τον τρόπο με τον οποίο οι χρήστες παρέχουν σχετικό θεματικό πλαίσιο προϊόντος και να διευκολύνουμε τη μετάβαση από την ενσωμάτωση στην ασφάλιση του κώδικά τους. Βελτιώσαμε επίσης σημαντικά την ποιότητα των ευρημάτων κατά τη διάρκεια της beta: σαρώσεις στα ίδια αποθετήρια με την πάροδο του χρόνου δείχνουν αυξανόμενη ακρίβεια, με μία περίπτωση να μειώνει τον θόρυβο κατά 84% από την αρχική διάθεση.  Έχουμε μειώσει τον ρυθμό ευρημάτων με υπερεκτιμημένη σοβαρότητα κατά περισσότερο από 90%, ενώ τα ποσοστά ψευδώς θετικών ανιχνεύσεων έχουν μειωθεί κατά πάνω από 50% σε όλα τα αποθετήρια. Αυτές οι βελτιώσεις βοηθούν το Codex Security να ευθυγραμμίζει καλύτερα τη δηλωμένη σοβαρότητα με τον πραγματικό κίνδυνο και να μειώνει το περιττό βάρος διαλογής για τις ομάδες ασφάλειας. Αναμένουμε, επίσης, ότι ο λόγος σήματος προς θόρυβο θα συνεχίσει να βελτιώνεται με περαιτέρω επενδύσεις.

Από σήμερα, το Codex Security διατίθεται σταδιακά σε πελάτες των ChatGPT Enterprise, Business και Edu μέσω του Codex web, με δωρεάν χρήση για τον επόμενο μήνα.

Το Codex Security αξιοποιεί τα κορυφαία μοντέλα της OpenAI και τον πράκτορα Codex. Μπορεί να μειώσει τον θόρυβο και να επιταχύνει την αποκατάσταση ευπαθειών, βασίζοντας τον εντοπισμό, την επαλήθευση και τη διόρθωσή τους στο θεματικό πλαίσιο του ίδιου του συστήματος.

1. Δημιουργία θεματικού πλαισίου συστήματος και επεξεργάσιμου μοντέλου απειλών: Αφού διαμορφωθεί μια σάρωση, αναλύει το αποθετήριό σας για να κατανοήσει τη δομή του συστήματος που σχετίζεται με την ασφάλεια και δημιουργεί ένα μοντέλο απειλών προσαρμοσμένο στο έργο, το οποίο αποτυπώνει τι κάνει το σύστημα, σε τι βασίζεται και σε ποια σημεία είναι περισσότερο εκτεθειμένο. Τα μοντέλα απειλών μπορούν να τροποποιηθούν ώστε ο πράκτορας να παραμένει ευθυγραμμισμένος με την ομάδα σας.
2. Ιεράρχηση και επαλήθευση ζητημάτων: Χρησιμοποιώντας το μοντέλο απειλών ως θεματικό πλαίσιο, αναζητά ευπάθειες και κατηγοριοποιεί τα ευρήματα με βάση την αναμενόμενη πραγματική επίδραση στο σύστημά σας. Όπου είναι δυνατόν, δοκιμάζει τα ευρήματα σε απομονωμένα περιβάλλοντα επαλήθευσης ώστε να διαχωρίζει το ουσιαστικό σήμα από τον θόρυβο. Οι χρήστες μπορούν να δουν αυτή την ανάλυση στα επαληθευμένα ευρήματα. Όταν το Codex Security διαμορφώνεται με περιβάλλον προσαρμοσμένο στο έργο σας, μπορεί να επαληθεύει πιθανά ζητήματα απευθείας στο θεματικό πλαίσιο του ενεργού συστήματος. Αυτή η βαθύτερη επαλήθευση μπορεί να μειώσει ακόμη περισσότερο τα ψευδώς θετικά αποτελέσματα και να επιτρέψει τη δημιουργία λειτουργικών proof-of-concept, προσφέροντας στις ομάδες ασφάλειας ισχυρότερα αποδεικτικά στοιχεία και σαφέστερη πορεία αποκατάστασης.
3. Διόρθωση ζητημάτων με πλήρες θεματικό πλαίσιο συστήματος: Τέλος, το Codex Security προτείνει διορθώσεις για τα εντοπισμένα ζητήματα που ευθυγραμμίζονται με τον σκοπό του συστήματος και τη συμπεριφορά του περιβάλλοντος κώδικα. Έτσι, προκύπτουν επιδιορθώσεις που βελτιώνουν την ασφάλεια ενώ ελαχιστοποιούν πιθανές παλινδρομήσεις, καθιστώντας τα ασφαλέστερα για έλεγχο και ενσωμάτωση. Οι χρήστες μπορούν να φιλτράρουν τα ευρήματα ώστε να επικεντρώνονται σε όσα έχουν τη μεγαλύτερη σημασία για την ομάδα τους και τον μεγαλύτερο αντίκτυπο στην ασφάλεια.

Το Codex Security μπορεί επίσης να μαθαίνει από τα σχόλιά σας με την πάροδο του χρόνου ώστε να βελτιώνει την ποιότητα των ευρημάτων του. Όταν προσαρμόζετε τη σοβαρότητα ενός ευρήματος, αξιοποιεί αυτή την ανατροφοδότηση για να βελτιώνει το μοντέλο απειλών και να αυξάνει την ακρίβεια σε επόμενες εκτελέσεις, καθώς μαθαίνει τι έχει σημασία για την αρχιτεκτονική και το προφίλ κινδύνου σας.

Έχει σχεδιαστεί ώστε να λειτουργεί σε μεγάλη κλίμακα και να προβάλλει ευρήματα υψηλής αξιοπιστίας μαζί με επιδιορθώσεις που μπορούν να υιοθετηθούν εύκολα. Τις τελευταίες 30 ημέρες, το Codex Security σάρωσε περισσότερα από 1,2 εκατομμύρια commit σε εξωτερικά αποθετήρια της ομάδας beta, εντοπίζοντας 792 κρίσιμα ευρήματα και 10.561 ευρήματα υψηλής σοβαρότητας. Κρίσιμα ζητήματα εμφανίστηκαν σε λιγότερο από 0,1% των σαρωμένων commit, δείχνοντας ότι το σύστημα μπορεί να εντοπίζει ζητήματα που επηρεάζουν την ασφάλεια μέσα σε τεράστιους όγκους κώδικα, διατηρώντας παράλληλα τον θόρυβο για τους ελεγκτές σε χαμηλά επίπεδα.

Ο ανοιχτός κώδικας αποτελεί το θεμέλιο των σύγχρονων συστημάτων, συμπεριλαμβανομένων και των δικών μας. Χρησιμοποιούμε το Codex Security για να σαρώνουμε τα αποθετήρια ανοιχτού κώδικα στα οποία βασιζόμαστε περισσότερο, κοινοποιώντας στους συντηρητές τα σημαντικά ευρήματα ασφάλειας που εντοπίζουμε ώστε να ενισχυθεί αυτό το θεμέλιο.

Στις συζητήσεις μας με συντηρητές προέκυψε ένα σταθερό μοτίβο: το πρόβλημα δεν είναι η έλλειψη αναφορών ευπαθειών, αλλά το υπερβολικά μεγάλο πλήθος χαμηλής ποιότητας αναφορών. Οι συντηρητές μάς είπαν ότι χρειάζονται λιγότερα ψευδώς θετικά αποτελέσματα και έναν πιο βιώσιμο τρόπο να αναδεικνύονται πραγματικά ζητήματα ασφάλειας χωρίς να δημιουργείται επιπλέον φόρτος διαλογής. Αυτές οι συζητήσεις διαμόρφωσαν τον τρόπο με τον οποίο υποστηρίζουμε την κοινότητα ανοιχτού κώδικα με το Codex Security. Αντί να παράγουμε μεγάλους όγκους υποθετικών ευρημάτων, δημιουργούμε ένα σύστημα που δίνει προτεραιότητα σε ζητήματα υψηλής αξιοπιστίας τα οποία οι συντηρητές μπορούν να αντιμετωπίσουν γρήγορα.

Στο πλαίσιο αυτής της προσπάθειας, αναφέραμε κρίσιμες ευπάθειες σε αρκετά ευρέως χρησιμοποιούμενα έργα ανοιχτού κώδικα, μεταξύ των οποίων τα OpenSSH⁠(ανοίγει σε νέο παράθυρο), GnuTLS⁠(ανοίγει σε νέο παράθυρο), GOGS⁠(ανοίγει σε νέο παράθυρο), Thorium⁠(ανοίγει σε νέο παράθυρο) libssh, PHP, Chromium κ.ά. Έχουν ήδη αποδοθεί δεκατέσσερα CVE, με διπλή αναφορά σε δύο από αυτά. Μοιραζόμαστε ορισμένα παραδείγματα στο Παράρτημα.

Πρόσφατα ξεκινήσαμε επίσης την ένταξη μιας αρχικής ομάδας maintainers ανοιχτού κώδικα στο Codex for OSS, το πρόγραμμα με το οποίο υποστηρίζουμε το οικοσύστημα προσφέροντας δωρεάν λογαριασμούς ChatGPT Pro και Plus, έλεγχο κώδικα και πρόσβαση στο Codex Security. Έργα όπως το vLLM έχουν ήδη χρησιμοποιήσει το Codex Security για να εντοπίσουν και να διορθώσουν ζητήματα ως μέρος της κανονικής ροής εργασίας τους.

Σχεδιάζουμε να επεκτείνουμε το πρόγραμμα τις επόμενες εβδομάδες, ώστε περισσότεροι maintainers να αποκτήσουν άμεση πρόσβαση σε καλύτερη ασφάλεια, ισχυρότερες ροές ελέγχου κώδικα και υποστήριξη για το έργο ανοιχτού κώδικα στο οποίο βασίζεται το οικοσύστημα. Αν είστε συντηρητής έργων ανοιχτού κώδικα και σας ενδιαφέρει, επικοινωνήστε μαζί μας⁠.

Τις επόμενες ημέρες θα διαθέσουμε πρόσβαση στο Codex Security σε πελάτες των ChatGPT Enterprise, Business και Edu. Ανατρέξτε στην τεκμηρίωσή⁠(ανοίγει σε νέο παράθυρο) μας για να μάθετε περισσότερα σχετικά με τη ρύθμιση του Codex Security για την ομάδα σας.

• GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990⁠(ανοίγει σε νέο παράθυρο)
• GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989⁠(ανοίγει σε νέο παράθυρο)
• GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988⁠(ανοίγει σε νέο παράθυρο)
• 2FA Bypass GOGS — CVE-2025-64175⁠(ανοίγει σε νέο παράθυρο)
• Unauth bypass GOGS — CVE-2026-25242⁠(ανοίγει σε νέο παράθυρο)
• Διέλευση διαδρομής (αυθαίρετη εγγραφή) — download_ephemeral, download_children (πράκτορας) — CVE-2025-35430⁠(ανοίγει σε νέο παράθυρο)
• Έγχυση LDAP (φίλτρα και DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(ανοίγει σε νέο παράθυρο)
• Μη επαληθευμένο DoS και κατάχρηση email — resend_email_verification — CVE-2025-35432⁠(ανοίγει σε νέο παράθυρο) , CVE-2025-35436⁠(ανοίγει σε νέο παράθυρο)
• Δεν έγινε εναλλαγή της περιόδου λειτουργίας κατά την αλλαγή κωδικού πρόσβασης — User::update_user — CVE-2025-35433⁠(ανοίγει σε νέο παράθυρο)
• Απενεργοποιημένη επαλήθευση TLS — Elasticsearch client — CVE-2025-35434⁠(ανοίγει σε νέο παράθυρο)
• DoS: διαίρεση με το μηδέν — /api/streams/depth/.../{split} — CVE-2025-35435⁠(ανοίγει σε νέο παράθυρο)
• gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881⁠(ανοίγει σε νέο παράθυρο)
• Υπερχείλιση buffer βάσει στοίβας στο TPM2 PKDECRYPT για RSA και ECC λόγω έλλειψης επικύρωσης του μήκους του κρυπτοκειμένου — CVE-2026-24882⁠(ανοίγει σε νέο παράθυρο)
• CMS/PKCS7 AES-GCM ASN.1 υπερχείλιση buffer στοίβας παραμέτρων — CVE-2025-15467⁠(ανοίγει σε νέο παράθυρο)
• PKCS#12 PBMAC1 PBKDF2 υπερχείλιση keyLength + παράκαμψη MAC — CVE-2025-11187⁠(ανοίγει σε νέο παράθυρο)