امروز Codex Security را معرفی میکنیم، عامل امنیت برنامه ما. این ابزار با ساختن زمینهای عمیق درباره پروژه شما، آسیبپذیریهای پیچیدهای را که سایر ابزارهای عاملمحور از دست میدهند شناسایی میکند و با ارائه یافتههایی با اطمینان بالاتر همراه با اصلاحاتی که به طور معنادار امنیت سیستم شما را بهبود میدهند، شما را از انبوه باگهای کماهمیت دور نگه میدارد.
زمینه هنگام ارزیابی ریسکهای واقعی امنیتی ضروری است، اما بیشتر ابزارهای امنیتی AI صرفاً یافتههای کماثر و مثبتهای کاذب را علامتگذاری میکنند و تیمهای امنیتی را مجبور میکنند زمان قابلتوجهی را صرف اولویتبندی بررسیها کنند. در عین حال، عاملها در حال تسریع توسعه نرمافزار هستند و بررسی امنیتی را به گلوگاهی هرچه حیاتیتر تبدیل میکنند.
Codex Security به هر دو چالش میپردازد. با ترکیب استدلال عاملمحور مدلهای پیشرفته ما با اعتبارسنجی خودکار، یافتههایی با اطمینان بالا و اصلاحات عملی ارائه میدهد تا تیمها بتوانند روی آسیبپذیریهای مهم تمرکز کنند و کد امن را سریعتر عرضه کنند.
پیشتر با نام Aardvark شناخته میشد، Codex Security سال گذشته به عنوان یک بتای خصوصی با گروه کوچکی از مشتریان آغاز شد. در استقرارهای داخلی اولیه، یک SSRF واقعی، یک آسیبپذیری بحرانی در احراز هویت بینمستاجری، و بسیاری مسائل دیگر شناسایی شد که تیم امنیتی ما ظرف چند ساعت آنها را وصله کرد. استقرارهای اولیه با آزمایشکنندگان خارجی به ما کمک کرد تا نحوه ارائه زمینه مرتبط محصول توسط کاربران را بهبود دهیم و از مرحله آنبوردینگ به ایمنسازی کدشان حرکت کنند. ما همچنین در طول دوره بتا کیفیت یافتههای خود را به طور قابلتوجهی بهبود دادیم: اسکنها روی همان محلهای نگهداری در گذر زمان دقت فزایندهای را نشان میدهند و در یک مورد، نویز از زمان عرضه اولیه 84% کاهش یافت. ما نرخ یافتههایی با شدت بیشازحد گزارششده را بیش از 90% کاهش دادهایم و نرخ مثبت کاذب در تشخیصها در سراسر همه محلهای نگهداری بیش از 50% کاهش یافته است. این بهبودها به Codex Security کمک میکنند تا شدت گزارششده را بهتر با ریسک دنیای واقعی همراستا کند و بار تریاژ غیرضروری را برای تیمهای امنیتی کاهش دهد، و انتظار داریم با سرمایهگذاری بیشتر، نسبت سیگنال به نویز همچنان بهبود پیدا کند.
از امروز Codex Security از طریق Codex Web برای مشتریان ChatGPT Enterprise، Business و Edu عرضه میشود و برای ماه آینده استفاده رایگان خواهد داشت.
Codex Security از مدلهای پیشرو OpenAI و عامل Codex بهره میگیرد. این کار میتواند با تکیه بر زمینه واقعی سیستم در کشف آسیبپذیریها، اعتبارسنجی و پچ کردن آسیبپذیریها در زمینهای خاص هر سیستم، نویز را کاهش دهد و رفع مشکل را تسریع کند.
- زمینه سامانه را بسازید و یک مدل تهدید قابل ویرایش ایجاد کنید: پس از پیکربندی یک اسکن، محل نگهداری شما را تحلیل میکند تا ساختار مرتبط با امنیتِ سامانه را درک کند و یک مدل تهدید اختصاصیِ پروژه تولید میکند که میتواند اینکه سامانه چه کاری انجام میدهد، به چه چیزهایی اعتماد دارد و در کجا بیشترین سطح در معرض خطر را دارد ثبت کند. مدلهای تهدید را میتوان ویرایش کرد تا عامل با تیم شما همراستا بماند.
- اولویتبندی و اعتبارسنجی مسائل: با استفاده از مدل تهدید بهعنوان زمینه، آسیبپذیریها را جستوجو میکند و یافتهها را بر اساس تأثیر مورد انتظار در دنیای واقعی در سیستم شما دستهبندی میکند. در صورت امکان، یافتهها را در محیطهای اعتبارسنجیِ سندباکسشده محک میزند تا سیگنال را از نویز متمایز کند. کاربران میتوانند این تحلیل را در یافتههای اعتبارسنجیشده ببینند. وقتی Codex Security با یک محیط متناسب با پروژه شما پیکربندی شود، میتواند مسائل بالقوه را مستقیماً در بستر سیستم در حال اجرا اعتبارسنجی کند. آن اعتبارسنجی عمیقتر میتواند مثبتهای کاذب را حتی بیشتر کاهش دهد و امکان ایجاد نمونههای اولیه عملی را فراهم کند، و به تیمهای امنیتی شواهد قویتر و مسیر روشنتری برای رفع مشکل بدهد.
- رفع مشکلات با زمینه کامل سیستم: در نهایت، Codex Security اصلاحاتی را برای مشکلات کشفشده پیشنهاد میکند که با قصد سیستم و رفتار پیرامونی همراستا هستند. این امکان را فراهم میکند که وصلههایی اعمال شوند که میتوانند امنیت را بهبود دهند و در عین حال رگرسیونها را به حداقل برسانند و بازبینی و ادغام آنها را ایمنتر میکند. کاربران میتوانند یافتهها را فیلتر کنند تا تمرکزشان روی آنچه برای تیمشان بیشترین اهمیت را دارد و بیشترین تأثیر امنیتی را دارد، باقی بماند.
Codex Security همچنین میتواند با گذشت زمان از بازخورد شما یاد بگیرد تا کیفیت یافتههای خود را بهبود بخشد. وقتی سطح بحرانی بودن یک یافته را تنظیم میکنید، میتواند از آن بازخورد برای پالایش مدل تهدید و بهبود دقت در اجراهای بعدی استفاده کند، چون یاد میگیرد چه چیزهایی در معماری و وضعیت ریسک شما اهمیت دارد.
این برای عملیات در مقیاس بزرگ طراحی شده است و با پچهای آسان برای پذیرش، یافتههایی با بالاترین سطح اطمینان را ارائه میدهد. در 30 روز گذشته، Codex Security بیش از 1.2 میلیون کامیت را در مخازن کد خارجی در گروه بتای ما اسکن کرد و 792 مورد یافته بحرانی و 10,561 مورد یافته با شدت بالا را شناسایی کرد. مسائل بحرانی در کمتر از 0.1% از کامیتهای اسکنشده ظاهر شدند که نشان میدهد سیستم میتواند مسائل دارای تأثیر امنیتی را در حجمهای بالای کد شناسایی کند و در عین حال نویز را برای بازبینها به حداقل برساند.
"NETGEAR به عنوان شرکتی که به طور ویژه بر امنیت محصول متمرکز است، با خرسندی به برنامه دسترسی زودهنگام پیوست و نتایج فراتر از انتظارات بود. Codex Security به راحتی در محیط توسعه امنیتی قدرتمند ما ادغام شد و سرعت و دقت فرایندهای بازبینی ما را افزایش داد. یافتههای آن به طرز چشمگیری روشن و جامع بود و اغلب این حس را القا میکرد که یک پژوهشگر باتجربه در حوزه امنیت محصول در کنار ما کار میکند."
نرمافزار متنباز اساس سامانههای مدرن، از جمله سامانههای خود ما را تشکیل میدهد. ما از Codex Security برای اسکن مخازن متنبازی که بیش از همه به آنها متکی هستیم استفاده کردهایم و یافتههای امنیتی با تأثیر بالا را که شناسایی میکنیم با نگهدارندگان به اشتراک میگذاریم تا به تقویت آن بنیان کمک کنیم.
در گفتوگوهای ما با نگهدارندگان، یک الگوی ثابت آشکار شد: چالش، کمبود گزارشهای آسیبپذیری نیست، بلکه تعداد زیاد گزارشهای کمکیفیت است. نگهدارندگان به ما گفتند که به مثبتهای کاذب کمتری نیاز دارند و به روشی پایدارتر برای شناسایی مشکلات امنیتی واقعی، بدون ایجاد بار اضافی برای تریاژ. این گفتگوها به شکلگیری نحوه پشتیبانی ما از جامعه متنباز با Codex Security کمک کردند. به جای تولید حجم زیادی از یافتههای حدسی، ما در حال ساخت سیستمی هستیم که مسائل با اطمینان بالا را در اولویت قرار میدهد؛ مسائلی که نگهدارندگان میتوانند به سرعت برایشان اقدام کنند.
به عنوان بخشی از این کار، آسیبپذیریهای بحرانی را به تعدادی از پروژههای متنباز پرکاربردی مانند OpenSSH(در یک پنجره جدید باز میشود)، GnuTLS(در یک پنجره جدید باز میشود)، GOGS(در یک پنجره جدید باز میشود)، Thorium(در یک پنجره جدید باز میشود)، libssh، PHP و Chromium و موارد دیگر گزارش کردیم. چهارده CVE با گزارشدهی دوگانه درباره دو مورد اختصاص داده شدهاند — چند نمونه را در پیوست به اشتراک گذاشتهایم.
ما اخیراً فرآیند ورود یک گروه اولیه از نگهدارندگان متنباز را در Codex for OSS آغاز کردهایم؛ برنامهای که برای حمایت از اکوسیستم، حسابهای رایگان ChatGPT Pro و Plus، بازبینی کد و Codex Security را ارائه میدهد. پروژههایی مانند vLLM از قبل از Codex Security استفاده کردهاند تا به عنوان بخشی از جریان کاری معمول خود، مشکلات را پیدا و پچ کنند.
ما قصد داریم در هفتههای آینده برنامه را گسترش دهیم تا نگهدارندگان بیشتری مسیر مستقیمی به امنیت بهتر، گردشکارهای بازبینی قویتر، و پشتیبانی از کار منبعبازی که اکوسیستم به آن متکی است داشته باشند. اگر نگهدارنده یک پروژه منبعباز هستید و علاقهمندید، لطفاً با ما تماس بگیرید.
ما در روزهای آینده دسترسی Codex Security را برای مشتریان ChatGPT Enterprise، Business و Edu در ChatGPT عرضه خواهیم کرد. برای آشنایی بیشتر با نحوه راهاندازی Codex Security برای تیمتان، مستندات ما(در یک پنجره جدید باز میشود) را بررسی کن.
- سرریز بافر هیپ (Off-by-One) در GnuTLS certtool — CVE-2025-32990(در یک پنجره جدید باز میشود)
- بیشخوانی بافر هیپ GnuTLS در تجزیه افزونه SCT — CVE-2025-32989(در یک پنجره جدید باز میشود)
- دوبارهآزادسازی (Double-Free) در GnuTLS در خروجیگرفتن otherName SAN — CVE-2025-32988(در یک پنجره جدید باز میشود)
- 2FA دور زدن GOGS — CVE-2025-64175(در یک پنجره جدید باز میشود)
- دور زدن احراز هویت GOGS — CVE-2026-25242(در یک پنجره جدید باز میشود)
- پیمایش مسیر (نوشتن دلخواه) — download_ephemeral, download_children (عامل) — CVE-2025-35430(در یک پنجره جدید باز میشود)
- تزریق LDAP (فیلترها & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(در یک پنجره جدید باز میشود)
- DoS بدون احراز هویت و سوءاستفاده از ایمیل — resend_email_verification — CVE-2025-35432(در یک پنجره جدید باز میشود) , CVE-2025-35436(در یک پنجره جدید باز میشود)
- جلسه هنگام تغییر گذرواژه تغییر نکرد — User::update_user — CVE-2025-35433(در یک پنجره جدید باز میشود)
- غیرفعالسازی تأیید TLS — Elasticsearch client — CVE-2025-35434(در یک پنجره جدید باز میشود)
- DoS: تقسیم بر صفر — /api/streams/depth/.../{split} — CVE-2025-35435(در یک پنجره جدید باز میشود)
- سرریز بافر پشته عامل gpg-agent از طریق PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(در یک پنجره جدید باز میشود)
- سرریز بافر مبتنی بر پشته در TPM2 PKDECRYPT برای RSA و ECC به دلیل نبود اعتبارسنجی طول متن رمز — CVE-2026-24882(در یک پنجره جدید باز میشود)
- سرریز بافر پشته در پارامترهای ASN.1 برای CMS/PKCS7 AES-GCM — CVE-2025-15467(در یک پنجره جدید باز میشود)
- سرریز keyLength در PKCS#12 PBMAC1 PBKDF2 + دور زدن MAC — CVE-2025-11187(در یک پنجره جدید باز میشود)
به خواندن ادامه بده
