Hoy presentamos Codex Security, nuestro agente de seguridad de aplicaciones. Crea un contexto profundo sobre tu proyecto para identificar vulnerabilidades complejas que otras herramientas con agentes pasan por alto, y muestra hallazgos de mayor confianza con correcciones que mejoran de forma significativa la seguridad de tu sistema, a la vez que evita el ruido de errores insignificantes.
El contexto es esencial al evaluar los riesgos de seguridad reales, pero la mayoría de las herramientas de seguridad con IA se limita a señalar hallazgos de bajo impacto y falsos positivos, lo que obliga a los equipos de seguridad a dedicar mucho tiempo al análisis. Al mismo tiempo, los agentes están acelerando el desarrollo de software, lo que convierte la revisión de seguridad en un cuello de botella cada vez más importante.
Codex Security aborda ambos desafíos. Al combinar el razonamiento con agentes de nuestros modelos de vanguardia con la validación automatizada, ofrece hallazgos confiables y soluciones prácticas para que los equipos puedan centrarse en las vulnerabilidades importantes y entregar código seguro con mayor rapidez.
Anteriormente conocido como Aardvark, Codex Security comenzó a finales del año pasado como una versión beta privada con un pequeño grupo de clientes. En los primeros despliegues internos se detectaron un SSRF real, una vulnerabilidad crítica de autenticación entre inquilinos y muchos otros problemas que nuestro equipo de seguridad corrigió en cuestión de horas. Las implementaciones tempranas con evaluadores externos nos ayudaron a mejorar cómo los usuarios proporcionan contexto relevante del producto y pasan de la incorporación a asegurar su código. También mejoramos de forma considerable la calidad de nuestros hallazgos a lo largo de la beta: los escaneos en los mismos repositorios a lo largo del tiempo muestran una precisión cada vez mayor; en un caso, redujimos el ruido en un 84 % desde el lanzamiento inicial. Estas mejoras ayudan a Codex Security a alinear mejor la gravedad reportada con el riesgo en el mundo real y a reducir la carga innecesaria de triaje para los equipos de seguridad. Esperamos que la relación señal-ruido continúe mejorando con una mayor inversión.
A partir de hoy, comenzamos a implementar Codex Security para los clientes de ChatGPT Enterprise, Business y Edu a través de Codex Web, con acceso gratuito durante el próximo mes.
Codex Security aprovecha los modelos de vanguardia de OpenAI y el agente Codex. Puede reducir el ruido y acelerar la corrección al basar el descubrimiento, la validación y la aplicación de parches de vulnerabilidades en el contexto específico del sistema.
- Crear contexto del sistema y un modelo de amenazas editable: después de configurar un escaneo, analiza tu repositorio para comprender la estructura del sistema relevante para la seguridad y genera un modelo de amenazas específico del proyecto que captura qué hace el sistema, en qué confía y dónde está más expuesto. Los modelos de amenazas se pueden editar para mantener al agente alineado con tu equipo.
- Priorizar y validar problemas: con el modelo de amenazas como contexto, busca vulnerabilidades y categoriza los hallazgos según el impacto esperado en el mundo real en tu sistema. Cuando es posible, somete los hallazgos a pruebas de estrés en entornos de validación aislados para distinguir la señal del ruido. Los usuarios pueden ver este análisis en las conclusiones validadas. Cuando Codex Security se configura con un entorno adaptado a tu proyecto, puede validar posibles problemas directamente en el contexto del sistema en ejecución. Esa validación más profunda puede reducir aún más los falsos positivos y permitir la creación de pruebas de concepto funcionales, lo que brinda a los equipos de seguridad evidencia más sólida y una ruta más clara hacia la remediación.
- Corregir problemas con contexto completo del sistema: por último, Codex Security propone correcciones para los problemas detectados que se alinean con la intención del sistema y su comportamiento. Esto permite aplicar parches que mejoran la seguridad mientras minimizan las regresiones, lo que los hace más seguros de revisar e integrar. Los usuarios pueden filtrar los hallazgos para centrarse en lo que más importa para su equipo y tiene el mayor impacto en la seguridad.
Codex Security también puede aprender de tus comentarios con el tiempo para mejorar la calidad de sus hallazgos. Cuando ajustas el nivel de gravedad de un hallazgo, puede usar esa retroalimentación para refinar el modelo de amenazas y mejorar la precisión en ejecuciones posteriores, a medida que aprende qué es lo que importa en tu arquitectura y postura de riesgo.
Está diseñado para operar a gran escala y mostrar hallazgos de alta confianza con parches fáciles de aceptar. Durante los últimos 30 días, Codex Security escaneó más de 1.2 millones de confirmaciones en repositorios externos de nuestra cohorte beta e identificó 792 hallazgos críticos y 10 561 hallazgos de alta gravedad. Se detectaron problemas críticos en menos del 0.1 % de los commits analizados, lo que demuestra que el sistema puede identificar problemas que afectan la seguridad en grandes volúmenes de código y, al mismo tiempo, minimizar el ruido para quienes revisan.
"Como empresa con un enfoque absoluto en la seguridad del producto, NETGEAR se complació en unirse al programa de acceso anticipado, y los resultados superaron las expectativas." Codex Security se integró sin esfuerzo en nuestro entorno de desarrollo de seguridad, fortaleciendo el ritmo y la profundidad de nuestros procesos de revisión. Sus hallazgos fueron impresionantemente claros y completos, y a menudo daban la sensación de que un investigador experimentado en seguridad de productos trabajaba junto a nosotros".
El software de código abierto constituye la base de los sistemas modernos, incluidos los nuestros. Hemos estado usando Codex Security para analizar los repositorios de código abierto de los que más dependemos y compartir con los maintainers los hallazgos de seguridad de alto impacto que identificamos para ayudar a fortalecer esa base.
En nuestras conversaciones con los maintainers, surgió un tema recurrente: el desafío no es la falta de reportes de vulnerabilidades, sino demasiados de baja calidad. También nos dijeron que necesitan menos falsos positivos y una forma más sostenible de sacar a la luz problemas de seguridad reales sin crear una carga adicional de triaje. Estas conversaciones ayudaron a definir cómo estamos apoyando a la comunidad de código abierto con Codex Security. En lugar de generar grandes volúmenes de hallazgos especulativos, estamos construyendo un sistema que prioriza problemas de alta confianza en los que los maintainers pueden actuar rápidamente.
Como parte de este trabajo, reportamos vulnerabilidades críticas a varios proyectos de código abierto ampliamente utilizados, incluidos OpenSSH(se abre en una nueva ventana), GnuTLS(se abre en una nueva ventana), GOGS(se abre en una nueva ventana), Thorium(se abre en una nueva ventana) libssh, PHP y Chromium, entre otros. Se han asignado catorce CVE con doble reporte en dos — hemos compartido algunos ejemplos en el apéndice.
Recientemente comenzamos a incorporar a un grupo inicial de maintainers de código abierto en Codex para OSS, nuestro programa para apoyar el ecosistema con cuentas gratuitas de ChatGPT Pro y Plus, revisión de código y Codex Security. Proyectos como vLLM ya han utilizado Codex Security para encontrar y corregir problemas como parte de su flujo de trabajo habitual.
Planeamos ampliar el programa en las próximas semanas para que más maintainers de código abierto tengan una vía directa hacia una mejor seguridad, flujos de trabajo de revisión más sólidos y apoyo para el trabajo de código abierto del que depende el ecosistema. Si eres un maintainer de código abierto y te interesa, comunícate con nosotros.
En los próximos días, empezaremos a implementar el acceso a Codex Security para los clientes de ChatGPT Enterprise, Business y Edu. Consulta nuestra documentación(se abre en una nueva ventana) para obtener más información sobre cómo configurar Codex Security para tu equipo.
- Desbordamiento de búfer de montón en GnuTLS certtool (Off-by-One) — CVE-2025-32990(se abre en una nueva ventana)
- Lectura fuera de límites del búfer del montón en GnuTLS en el análisis de la extensión SCT — CVE-2025-32989(se abre en una nueva ventana)
- Liberación doble de memoria en la exportación de otherName SAN en GnuTLS — CVE-2025-32988(se abre en una nueva ventana)
- Omisión de la autenticación de dos factores en GOGS — CVE-2025-64175(se abre en una nueva ventana)
- Omisión de autenticación GOGS — CVE-2026-25242(se abre en una nueva ventana)
- Recorrido de ruta (escritura arbitraria) — download_ephemeral, download_children (agente) — CVE-2025-35430(se abre en una nueva ventana)
- Inyección LDAP (filtros y DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(se abre en una nueva ventana)
- DoS no autenticado y abuso de correo — resend_email_verification — CVE-2025-35432(se abre en una nueva ventana) , CVE-2025-35436(se abre en una nueva ventana)
- Sesión no rotada al cambiar la contraseña — User::update_user — CVE-2025-35433(se abre en una nueva ventana)
- Verificación de TLS deshabilitada — Cliente de Elasticsearch — CVE-2025-35434(se abre en una nueva ventana)
- DoS: división por cero — /api/streams/depth/.../{split} — CVE-2025-35435(se abre en una nueva ventana)
- Desbordamiento de búfer en la pila en gpg-agent mediante PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(se abre en una nueva ventana)
- Desbordamiento de búfer basado en pila en TPM2 PKDECRYPT para RSA y ECC debido a la falta de validación de la longitud del texto cifrado — CVE-2026-24882(se abre en una nueva ventana)
- Desbordamiento de búfer en la pila en los parámetros ASN.1 de AES-GCM en CMS/PKCS7 — CVE-2025-15467(se abre en una nueva ventana)
- Desbordamiento del parámetro keyLength en PBMAC1 PBKDF2 de PKCS#12 y elusión del MAC — CVE-2025-11187(se abre en una nueva ventana)
Sigue leyendo
