Codex Security on nüüd saadaval uurimuse eelvaatena
Täna tutvustame oma rakenduste turvaagenti Codex Security. See loob sinu projekti kohta sügava konteksti, et tuvastada keerulisi haavatavusi, mida teised agendipõhised tööriistad ei märka, tuues esile suurema usaldusväärsusega leide koos parandustega, mis parandavad oluliselt sinu süsteemi turvalisust, säästes sind samal ajal ebaoluliste vigade mürast.
Kontekst on tegelike turvariskide hindamisel ülioluline, kuid enamik tehisintellekti turbetööriistu märgistab lihtsalt madala mõjuga leide ja valepositiivseid tulemusi, sundides turbemeeskondi kulutama märkimisväärselt aega esmasele hindamisele. Samal ajal kiirendavad agendid tarkvaraarendust, muutes turvaülevaatuse üha kriitilisemaks pudelikaelaks.
Codex Security lahendab mõlemad probleemid. Kombineerides meie tippmudelite agendipõhise arutluse automaatse valideerimisega, pakub see suure usaldusväärsusega leide ja rakendatavaid parandusi, et meeskonnad saaksid keskenduda olulistele haavatavustele ja väljastada turvalist koodi kiiremini.
Varasemalt Aardvarki nime all tuntud Codex Security alustas eelmisel aastal privaatse beetana väikese kliendigrupiga. Varajaste sisemiste juurutuste käigus tõi see esile tõelise SSRF-i, kriitilise rentnikeülese autentimishaavatavuse ja palju muid probleeme, mis meie turbemeeskond paikas loetud tundidega. Varajased juurutused koos väliste testijatega aitasid meil täiustada seda, kuidas kasutajad pakuvad asjakohast tootekonteksti ning liiguvad programmi kasutuselevõtust oma koodi turvamiseni. Samuti parandasime beetafaasi käigus oluliselt oma leidude kvaliteeti: samade repositooriumide skannimised ajas näitavad kasvavat täpsust, vähendades ühel juhul müra 84% võrra alates esmasest väljalaskest. Oleme vähendanud ülehinnatud raskusastmega leidude osakaalu enam kui 90% ja tuvastamiste valepositiivsete määr on langenud kõikide repositooriumide lõikes enam kui 50%. Need täiustused aitavad Codex Securityl paremini viia teatatud raskusaste vastavusse reaalse riskiga ning vähendada turbemeeskondade tarbetut triiažikoormust, samuti ootame täiendavate investeeringutega signaali-müra suhte edasist paranemist.
Alates tänasest jõuab Codex Security Codexi veebi kaudu ChatGPT Enterprise'i, Businessi ja Edu klientideni, olles järgmise kuu jooksul tasuta kasutatav.
Codex Security kasutab OpenAI tippmudeleid ja Codexi agenti. See suudab vähendada müra ja kiirendada probleemide kõrvaldamist, tuginedes haavatavuste avastamisel, valideerimisel ja paikamise tegemisel süsteemispetsiifilisele kontekstile.
- Loo süsteemi kontekst ja redigeeritav ohumudel: pärast skannimise seadistamist analüüsib see sinu repositooriumi, et mõista süsteemi turbega seotud struktuuri, ja loob projektispetsiifilise ohumudeli, mis suudab tuvastada, mida süsteem teeb, mida see usaldab ja kus see on kõige enam ohustatud. Ohumudeleid saab redigeerida, et hoida agenti sinu meeskonnaga sünkroonis.
- Prioritiseeri ja valideeri probleeme: kasutades ohumudelit kontekstina, otsib see haavatavusi ja kategoriseerib leiud sinu süsteemi eeldatava reaalse mõju põhjal. Võimalusel pingetestib see leide liivakasti valideerimiskeskkondades, et eristada signaali mürast. Kasutajad näevad seda analüüsi valideeritud leidudes. Kui Codex Security on konfigureeritud sinu projektile kohandatud keskkonnaga, suudab see valideerida võimalikke probleeme otse töötava süsteemi kontekstis. See sügavam valideerimine võib valepositiivseid tulemusi veelgi vähendada ja võimaldada toimivate kontseptsioonitõestuste loomist, andes turbemeeskondadele tugevamad tõendid ja selgema teekonna probleemi kõrvaldamiseks.
- Paika probleeme täieliku süsteemikontekstiga: lõpetuseks pakub Codex Security avastatud probleemidele parandusi, mis on kooskõlas süsteemi eesmärgi ja ümbritseva käitumisega. See võimaldab luua paiku, mis parandavad turvalisust, minimeerides samal ajal regressioone, mis muudab nende ülevaatamise ja rakendamise turvalisemaks. Kasutajad saavad leide filtreerida, et nad saaksid keskenduda sellele, mis on nende meeskonna jaoks kõige olulisem ja millel on suurim turvamõju.
Codex Security suudab ajapikku õppida ka sinu tagasisidest, et parandada oma leidude kvaliteeti. Kui kohandad leiu kriitilisust, saab see seda tagasisidet kasutada ohumudeli täiustamiseks ja järgnevate skannimiste täpsuse suurendamiseks, kuna see õpib, mis on sinu arhitektuuris ja riskiprofiilis oluline.
See on loodud töötama laiaulatuslikult ja tooma esile kõrgeima usaldusväärsusega leide koos lihtsalt aktsepteeritavate paikadega. Viimase 30 päeva jooksul skannis Codex Security meie beeta-kohordi välistes repositooriumides üle 1,2 miljoni koodimuudatuse, tuvastades 792 kriitilist leidu ja 10 561 kõrge raskusastmega leidu. Kriitilisi probleeme ilmnes vähem kui 0,1% skannitud koodimuudatustest, mis näitab, et süsteem suudab tuvastada turvalisust mõjutavaid probleeme suurtes koodimahtudes, viies samal ajal ülevaatajatele tekkiva müra miinimumini.
„Ettevõttena, mis on täielikult keskendunud toodete turvalisusele, oli NETGEARil hea meel liituda varajase juurdepääsu programmiga ning tulemused ületasid ootusi. Codex Security integreerus vaevata meie tugevasse turvaarenduskeskkonda, tugevdades meie ülevaatusprotsesside tempot ja sügavust. Selle leiud olid muljetavaldavalt selged ja kõikehõlmavad, tekitades sageli tunde, nagu töötaks meie kõrval kogenud tooteturbe uurija.“
Avatud lähtekoodiga tarkvara moodustab kaasaegsete süsteemide, sealhulgas meie enda süsteemide, vundamendi. Oleme kasutanud Codex Securityt, et skannida avatud lähtekoodiga repositooriume, millele me kõige rohkem toetume, jagades tuvastatud suure mõjuga turvaleide arendajatega, et aidata seda vundamenti tugevdada.
Meie vestlustes haldajatega kerkis esile läbiv teema: probleemiks ei ole haavatavusraportite puudus, vaid liiga paljud madala kvaliteediga raportid. Haldajad ütlesid meile, et nad vajavad vähem valepositiivseid tulemusi ja jätkusuutlikumat viisi tegelike turvaprobleemide esiletoomiseks ilma täiendavat triiažikoormust tekitamata. Need vestlused aitasid kujundada seda, kuidas me Codex Securityga avatud lähtekoodiga kogukonda toetame. Spekulatiivsete leidude suures mahus genereerimise asemel ehitame süsteemi, mis seab esikohale suure usaldusväärsusega probleemid, millega haldajad saavad kiiresti tegeleda.
Selle töö raames teatasime kriitilistest haavatavustest mitmetele laialdaselt kasutatavatele avatud lähtekoodiga projektidele, sealhulgas OpenSSH(avaneb uues aknas), GnuTLS(avaneb uues aknas), GOGS(avaneb uues aknas), Thorium(avaneb uues aknas) libssh, PHP ja Chromium jt. Omistatud on neliteist CVE-d, millest kahel on topeltraporteerimine — oleme jaganud mõningaid näiteid Lisas.
Hiljuti alustasime esimese grupi avatud lähtekoodiga projektide haldajate kaasamist programmi Codex for OSS, mis toetab ökosüsteemi tasuta ChatGPT Pro ja Plus kontode, koodi ülevaatuse ja Codex Securityga. Projektid nagu vLLM on juba kasutanud Codex Securityt probleemide leidmiseks ja paikamiseks osana oma tavapärasest töövoolust.
Plaanime programmi lähinädalatel laiendada, et rohkematel haldajatel oleks otsene tee parema turvalisuse, tugevamate ülevaatustöövoogude ning toe juurde avatud lähtekoodiga töö tegemisel, millest kogu ökosüsteem sõltub. Kui oled avatud lähtekoodiga projekti haldaja ja oled huvitatud, võta meiega ühendust.
Lähipäevil avame Codex Security juurdepääsu ChatGPT Enterprise'i, Businessi ja Edu klientidele. Vaata meie dokumentatsiooni(avaneb uues aknas), et saada lisateavet Codex Security seadistamise kohta oma meeskonnale.
- GnuTLS-i certtooli kuhjapuhvri ületäitumine (Off-by-One) — CVE-2025-32990(avaneb uues aknas)
- GnuTLS-i kuhjapuhvri üleulatumine SCT-laiendi parsimisel — CVE-2025-32989(avaneb uues aknas)
- GnuTLS-i topeltvabastamine otherName SAN-i ekspordis — CVE-2025-32988(avaneb uues aknas)
- Kaheastmelise autentimise (2FA) möödahiilimine GOGS-is — CVE-2025-64175(avaneb uues aknas)
- Autentimata juurdepääsu möödahiilimine GOGS-is — CVE-2026-25242(avaneb uues aknas)
- Teekonna läbimine (meelevaldne kirjutamine) — download_ephemeral, download_children (agent) — CVE-2025-35430(avaneb uues aknas)
- LDAP-i süstimine (filtrid ja DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(avaneb uues aknas)
- Autentimata teenusetõkestus (DoS) ja e-posti väärkasutamine — resend_email_verification — CVE-2025-35432(avaneb uues aknas) , CVE-2025-35436(avaneb uues aknas)
- Seanssi ei uuendata parooli muutmisel — User::update_user — CVE-2025-35433(avaneb uues aknas)
- Keelatud TLS-i valideerimine — Elasticsearchi klient — CVE-2025-35434(avaneb uues aknas)
- DoS: nulliga jagamine — /api/streams/depth/.../{split} — CVE-2025-35435(avaneb uues aknas)
- gpg-agent pinupuhvri ületäitumine PKDECRYPT kaudu --kem=CMS (ECC KEM) — CVE-2026-24881(avaneb uues aknas)
- Pinupõhine puhvri ületäitumine TPM2 PKDECRYPT-is RSA ja ECC jaoks salateksti pikkuse valideerimise puudumise tõttu — CVE-2026-24882(avaneb uues aknas)
- CMS/PKCS7 AES-GCM ASN.1 params pinupuhvri ületäitumine — CVE-2025-15467(avaneb uues aknas)
- PKCS#12 PBMAC1 PBKDF2 keyLengthi ületäitumine + MAC-ist möödahiilimine — CVE-2025-11187(avaneb uues aknas)
