Codex Security on nyt saatavilla ennakkoversiona
Tänään esittelemme Codex Securityn, sovellusten tietoturva-agenttimme. Se rakentaa projektistasi syvällisen kontekstin tunnistaakseen monimutkaiset haavoittuvuudet, jotka muut agenttipohjaiset työkalut ohittavat. Se tuo esiin luotettavampia löydöksiä korjauksineen, jotka parantavat merkittävästi järjestelmäsi turvallisuutta ja säästävät sinut merkityksettömien bugien aiheuttamalta kohinalta.
Konteksti on olennainen todellisten tietoturvariskien arvioinnissa, mutta useimmat tekoälypohjaiset tietoturvatyökalut merkitsevät vähävaikutteisia ja vääriä positiivisia löydöksiä, mikä pakottaa tietoturvatiimit käyttämään huomattavasti aikaa priorisointiin. Samaan aikaan agentit nopeuttavat ohjelmistokehitystä, mikä tekee tietoturvatarkastuksesta yhä kriittisemmän pullonkaulan.
Codex Security vastaa molempiin haasteisiin. Yhdistämällä edistyneiden malliemme agenttipohjaisen päättelyn ja automaattisen validoinnin se tuottaa erittäin luotettavia löydöksiä ja toimintakelpoisia korjauksia, jotta tiimit voivat keskittyä olennaisiin haavoittuvuuksiin ja toimittaa turvallista koodia nopeammin.
Aiemmin nimellä Aardvark tunnettu Codex Security alkoi viime vuonna yksityisenä beetana pienen asiakasryhmän kanssa. Sisäisten käyttöönottojen alkuvaiheissa se paljasti todellisen SSRF-haavoittuvuuden, kriittisen ristiinvuokralaisten todennushaavoittuvuuden ja monia muita ongelmia, jotka tietoturvatiimimme korjasi muutamassa tunnissa. Ulkopuolisten testaajien kanssa tehdyt varhaiset käyttöönotot auttoivat meitä parantamaan käyttäjien tarjoamaa olennaista tuotekontekstia ja siirtymään koodin käyttöönotosta sen suojaamiseen. Paransimme myös merkittävästi löydöstemme laatua beetan aikana: samojen repositorioiden skannaukset ajan myötä ovat osoittaneet tarkkuuden kasvua – yhdessä tapauksessa kohina on vähentynyt 84 % alkuperäisestä julkaisusta. Olemme vähentäneet vakavuusasteeltaan liian vakaviksi raportoitujen löydösten määrää yli 90 %, ja väärien positiivisten tulosten määrä havainnoissa on laskenut yli 50 % kaikissa repositorioissa. Nämä parannukset auttavat Codex Securitya yhdenmukaistamaan raportoidun vakavuuden paremmin todellisten riskien kanssa ja vähentämään tietoturvatiimien tarpeetonta priorisointitaakkaa. Odotamme signaali-kohinasuhteen paranevan edelleen lisäinvestointien myötä.
Codex Security lanseerataan tänään ChatGPT Enterprise-, Business- ja Edu-asiakkaille Codexin verkkopalvelun kautta, ja käyttö on ilmaista seuraavan kuukauden ajan.
Codex Security hyödyntää OpenAI:n edistyneitä malleja ja Codex-agenttia. Se voi vähentää kohinaa ja nopeuttaa korjaavia toimenpiteitä yhdistämällä haavoittuvuuksien löytämisen, validoinnin ja korjaamisen järjestelmäkohtaiseen kontekstiin.
- Luo järjestelmäkonteksti ja muokattava uhkamalli: Skannauksen määrittämisen jälkeen se analysoi repositoriosi ymmärtääkseen järjestelmän tietoturvan kannalta olennaisen rakenteen ja luo projektikohtaisen uhkamallin, joka voi kuvata, mitä järjestelmä tekee, mihin se luottaa ja missä kohtaa se on eniten altistunut. Uhkamalleja voidaan muokata, jotta agentti pysyy yhdenmukaisena tiimisi kanssa.
- Priorisoi ja validoi ongelmat: Käyttämällä uhkamallia kontekstina se etsii haavoittuvuuksia ja luokittelee löydökset sen perusteella, mikä on niiden odotettu todellinen vaikutus järjestelmääsi. Se testaa mahdollisuuksien mukaan löydöksiä eristetyissä validointiympäristöissä erottaakseen signaalin kohinasta. Käyttäjät voivat nähdä tämän analyysin validoiduissa löydöksissä. Kun Codex Security on määritetty projektiisi räätälöidyllä ympäristöllä, se voi validoida mahdolliset ongelmat suoraan käynnissä olevan järjestelmän kontekstissa. Tämä syvällisempi validointi voi vähentää väärien positiivisten tulosten määrää entisestään ja mahdollistaa toimivien konseptitodistusten luomisen, mikä antaa tietoturvatiimeille vahvempaa näyttöä ja selkeämmän polun korjaaviin toimenpiteisiin.
- Korjaa ongelmat koko järjestelmän kontekstissa: Lopuksi Codex Security ehdottaa löydettyihin ongelmiin korjauksia, jotka ovat yhdenmukaisia järjestelmän tarkoituksen ja ympäröivän toiminnan kanssa. Tämä mahdollistaa korjaukset, jotka voivat parantaa tietoturvaa samalla kun regressiot minimoidaan, mikä tekee niistä turvallisempia tarkastaa ja ottaa käyttöön. Käyttäjät voivat suodattaa löydöksiä, jotta he voivat keskittyä siihen, mikä on heidän tiimilleen tärkeintä ja millä on suurin vaikutus tietoturvaan.
Codex Security voi myös oppia palautteestasi ajan myötä parantaakseen löydöstensä laatua. Kun mukautat löydöksen kriittisyyttä, se voi käyttää tätä palautetta uhkamallin tarkentamiseen ja parantaa tarkkuutta seuraavilla ajoilla, kun se oppii, mikä on tärkeää arkkitehtuurissasi ja riskiasemassasi.
Se on suunniteltu toimimaan laajassa mittakaavassa ja tuomaan esiin luotettavimmat löydökset helposti hyväksyttävillä korjauksilla. Viimeisten 30 päivän aikana Codex Security on skannannut yli 1,2 miljoonaa committia ulkoisissa repositorioissa beetakohortissamme ja tunnistanut 792 kriittistä ja 10 561 erittäin vakavaa löydöstä. Kriittisiä ongelmia esiintyi alle 0,1 prosentissa skannatuista commiteista, mikä osoittaa, että järjestelmä pystyy tunnistamaan tietoturvaan vaikuttavia ongelmia suurissa koodimäärissä ja minimoimaan samalla tarkistajille aiheutuvan kohinan.
"Tuoteturvallisuuteen laserpainotteisena yrityksenä NETGEAR liittyi mielellään varhaiskäyttöohjelmaan, ja tulokset ylittivät odotukset. Codex Security integroitui vaivattomasti vankkaan tietoturvakehitysympäristöömme, mikä vahvisti tarkistusprosessiemme nopeutta ja syvyyttä. Sen löydökset olivat vaikuttavan selkeitä ja kattavia, ja ne antoivat usein vaikutelman, että kokenut tuoteturvallisuustutkija työskentelisi rinnallamme."
Avoimen lähdekoodin ohjelmistot muodostavat perustan nykyaikaisille järjestelmille, mukaan lukien omalle järjestelmällemme. Olemme käyttäneet Codex Securitya skannataksemme avoimen lähdekoodin repositorioita, joihin tukeudumme eniten, ja jakaneet tunnistamamme merkittävät tietoturvalöydökset ylläpitäjien kanssa auttaaksemme vahvistamaan tätä perustaa.
Ylläpitäjien kanssa käydyissä keskusteluissamme nousi jatkuvasti esiin yksi teema: haasteena ei ole haavoittuvuusraporttien puute vaan liian monet heikkolaatuiset raportit. Ylläpitäjät kertoivat meille, että he tarvitsevat vähemmän vääriä positiivisia tuloksia ja kestävämmän tavan nostaa esiin todellisia tietoturvaongelmia ilman, että niistä aiheutuu ylimääräistä priorisointitaakkaa. Nämä keskustelut auttoivat muokkaamaan sitä, miten tuemme avoimen lähdekoodin yhteisöä Codex Securityn avulla. Sen sijaan, että tuottaisimme suuria määriä spekulatiivisia löydöksiä, kehitämme järjestelmää, joka priorisoi varmat ongelmat, joiden pohjalta ylläpitäjät voivat toimia nopeasti.
Osana tätä työtä raportoimme kriittisistä haavoittuvuuksista useissa laajalti käytetyissä avoimen lähdekoodin projekteissa, kuten OpenSSH(avautuu uudessa ikkunassa), GnuTLS(avautuu uudessa ikkunassa), GOGS(avautuu uudessa ikkunassa), Thorium(avautuu uudessa ikkunassa) libssh, PHP ja Chromium. Neljätoista CVE:tä on määritetty, ja kahdesta on raportoitu kahteen kertaan. Olemme jakaneet joitakin esimerkkejä liitteessä.
Aloitimme hiljattain ensimmäisen avoimen lähdekoodin ylläpitäjien ryhmän perehdyttämisen Codex for OSS -ohjelmaamme, jonka tarkoituksena on tukea ekosysteemiä maksuttomilla ChatGPT Pro- ja ChatGPT Plus -tileillä, kooditarkistuksella ja Codex Securitylla. vLLM:n kaltaiset projektit ovat jo käyttäneet Codex Securitya ongelmien löytämiseen ja korjaamiseen osana normaalia työnkulkuaan.
Aiomme laajentaa ohjelmaa lähiviikkoina, jotta useammilla ylläpitäjillä on suora polku parempaan tietoturvaan, vahvempiin tarkistusprosesseihin ja tukeen avoimen lähdekoodin työlle, josta ekosysteemi on riippuvainen. Jos olet avoimen lähdekoodin ylläpitäjä ja kiinnostunut, ota yhteyttä.
Lanseeraamme Codex Securityn käyttöoikeuden ChatGPT Enterprise-, Business- ja Edu-asiakkaille tulevien päivien aikana. Katso dokumenteistamme(avautuu uudessa ikkunassa) lisätietoja Codex Securityn käyttöönotosta tiimillesi.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(avautuu uudessa ikkunassa)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(avautuu uudessa ikkunassa)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(avautuu uudessa ikkunassa)
- 2FA Bypass GOGS — CVE-2025-64175(avautuu uudessa ikkunassa)
- Unauth bypass GOGS — CVE-2026-25242(avautuu uudessa ikkunassa)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(avautuu uudessa ikkunassa)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(avautuu uudessa ikkunassa)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(avautuu uudessa ikkunassa) , CVE-2025-35436(avautuu uudessa ikkunassa)
- Session not rotated on password change — User::update_user — CVE-2025-35433(avautuu uudessa ikkunassa)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(avautuu uudessa ikkunassa)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(avautuu uudessa ikkunassa)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(avautuu uudessa ikkunassa)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(avautuu uudessa ikkunassa)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(avautuu uudessa ikkunassa)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(avautuu uudessa ikkunassa)
