Ngayon, ipinapakilala namin ang Codex Security, ang aming application security agent. Bumubuo ito ng malalim na konteksto tungkol sa iyong proyekto para matukoy ang mga kumplikadong kahinaan na hindi nakikita ng ibang agentic na tool, at inilalabas ang mas mapagkakatiwalaang mga natuklasan kasama ang mga pag-aayos na tunay na nagpapabuti sa seguridad ng system mo habang iniiwas ka sa ingay ng mga hindi gaanong mahalagang bug.
Mahalaga ang konteksto kapag sinusuri ang mga tunay na panganib sa seguridad, pero karamihan sa mga AI security tool ay nagfa-flag lang ng mga mababang epekto na isyu at mga false positive, kaya napipilitang gumugol ng maraming oras ang mga security team sa triage. Kasabay nito, pinapabilis ng mga agent ang pagbuo ng software, kaya lalo pang nagiging kritikal na bottleneck ang security review.
Tinutugunan ng Codex Security ang parehong hamong ito. Sa pagsasama ng agentic reasoning mula sa aming mga frontier model at automated validation, nagbibigay ito ng mga natuklasang may mataas na kumpiyansa at mga praktikal na pag-aayos para makapagpokus ang mga team sa mga vulnerability na talagang mahalaga at makapaglabas ng mas ligtas na code nang mas mabilis.
Dating kilala bilang Aardvark, nagsimula ang Codex Security noong nakaraang taon bilang isang pribadong beta kasama ang maliit na grupo ng mga customer. Sa mga unang internal deployment, natukoy nito ang tunay na SSRF, isang kritikal na cross-tenant authentication vulnerability, at marami pang ibang isyu na naayos ng aming security team sa loob lang ng ilang oras. Ang mga unang deployment kasama ang mga external tester ay nakatulong sa amin na mapabuti kung paano nagbibigay ang mga user ng mahalagang konteksto tungkol sa kanilang produkto at kung paano sila lumilipat mula sa onboarding patungo sa pag-secure ng kanilang code. Malaki rin ang ipinabuti ng kalidad ng aming mga natuklasan sa loob ng beta: ang mga scan sa parehong repository sa paglipas ng panahon ay nagpapakita ng mas mataas na precision—sa isang kaso, nabawasan ang noise ng 84% mula noong unang rollout. Nabawasan namin ang rate ng mga finding na may sobrang naiulat na severity nang mahigit 90%, at bumaba ang mga rate ng false positive sa mga detection nang mahigit 50% sa lahat ng mga repository. Nakakatulong ang mga pagpapahusay na ito sa Codex Security na mas maihanay ang iniulat na antas ng kalubhaan sa panganib sa totoong mundo at mabawasan ang hindi kinakailangang pasanin sa triage para sa mga security team, at inaasahan naming patuloy na gaganda ang signal-to-noise ratio sa pamamagitan ng karagdagang pamumuhunan.
Simula ngayon, ilulunsad ang Codex Security sa mga customer ng ChatGPT Enterprise, Business, at Edu sa pamamagitan ng Codex web na may libreng paggamit sa susunod na buwan.
Ginagamit ng Codex Security ang mga frontier na modelo ng OpenAI at ang Codex agent. Puwede nitong bawasan ang ingay at pabilisin ang pag-aayos sa pamamagitan ng grounding ng pagtuklas, pagpapatunay, at pag-patch ng mga kahinaan sa kontekstong partikular sa system.
- Bumuo ng konteksto ng system at gumawa ng nae-edit na modelo ng banta: Pagkatapos i-configure ang pag-scan, sinusuri nito ang repository mo para maunawaan ang istrukturang may kaugnayan sa seguridad ng system at bumubuo ng project-specific na modelo ng banta na kayang ilarawan kung ano ang ginagawa ng system, kung ano ang pinagkakatiwalaan nito, at kung saan ito pinaka-exposed. Puwedeng i-edit ang mga threat model para mapanatiling nakaayon ang agent sa iyong team.
- I-priyoridad at i-validate ang mga isyu: Gamit ang modelo ng banta bilang konteksto, naghahanap ito ng mga kahinaan at ikinakategorya ang mga natuklasan batay sa inaasahang epekto sa totoong mundo sa iyong system. Hangga't maaari, sinusubukan nito ang tibay ng mga natuklasan sa mga naka-sandbox na kapaligiran ng pagpapatunay para maihiwalay ang signal mula sa ingay. Makikita ng mga user ang pagsusuring ito sa mga napatunayang natuklasan. Kapag na-configure ang Codex Security gamit ang kapaligiran na iniangkop sa iyong proyekto, puwede nitong i-validate ang mga posibleng isyu nang direkta sa konteksto ng tumatakbong sistema. Dahil sa mas malalim na validation, puwede pang mabawasan ang mga false positive at makabuo ng mga gumaganang proof-of-concept, na nagbibigay sa mga security team ng mas matibay na ebidensya at mas malinaw na paraan para maayos ang mga isyu.
- Ayusin ang mga isyu gamit ang buong konteksto ng system: Sa wakas, nagmumungkahi ang Codex Security ng mga pag-aayos sa mga natuklasang isyu na umaayon sa layunin ng system at sa nakapaligid na paggawi. Pinapagana nito ang mga patch na puwedeng magpabuti ng seguridad habang pinapaliit ang mga regression, na ginagawang mas ligtas ang mga ito na suriin at i-merge. Puwedeng i-filter ng mga user ang mga natuklasan para manatili silang nakatuon sa kung ano ang pinakamahalaga sa kanilang team at may pinakamalaking epekto sa seguridad.
Puwede ring matuto ang Codex Security mula sa feedback mo sa paglipas ng panahon para mapabuti ang kalidad ng mga natuklasan nito. Kapag ina-adjust mo ang kritikalidad ng isang finding, magagamit nito ang feedback na iyon para i-refine ang modelo ng banta at pahusayin ang katumpakan sa mga susunod na run habang natututo ito kung ano ang mahalaga sa arkitektura at risk posture mo.
Dinisenyo ito para mag-operate sa malawakang saklaw at ilabas ang mga natukoy na isyu na may pinakamataas na antas ng kumpiyansa, kasama ang mga patch na madaling tanggapin. Sa nakalipas na 30 araw, nag-scan ang Codex Security ng mahigit 1.2 milyong commit sa mga external repository sa aming beta cohort, na tumukoy ng 792 kritikal na natuklasan at 10,561 natuklasang may mataas na kalubhaan. Lumabas ang mga kritikal na isyu sa mas mababa sa 0.1% ng mga na-scan na commit, na nagpapakitang kayang tukuyin ng system ang mga isyung nakakaapekto sa seguridad sa malalaking volume ng code habang pinapaliit ang ingay para sa mga reviewer.
"Bilang isang kumpanyang lubos na nakatuon sa seguridad ng produkto, ikinatuwa ng NETGEAR na makasali sa early access program, at lumampas sa aming inaasahan ang mga naging resulta. Madaling na-integrate ang Codex Security sa aming matatag na security development environment, na lalo pang nagpabilis at nagpalalim sa aming mga proseso ng pagsusuri. Napakalinaw at komprehensibo ng mga natuklasan nito, at kadalasan ay parang may isang bihasang product security researcher na nagtatrabaho kasama namin."
Ang open-source software ang bumubuo sa pundasyon ng mga modernong sistema, kabilang ang amin. Ginagamit namin ang Codex Security para i-scan ang mga open-source repository na pinaka-inaasahan namin, at ibinabahagi namin sa mga maintainer ang mga natuklasan naming isyu sa seguridad na may mataas na epekto para makatulong na mapatibay ang pundasyong iyon.
Sa aming mga pag-uusap sa mga maintainer, lumitaw ang pare-parehong tema: ang hamon ay hindi kakulangan ng mga ulat ng kahinaan, kundi ang napakaraming mababang-kalidad na ulat. Sinabi sa amin ng mga maintainer na kailangan nila ng mas kaunting mga false positive at mas napapanatiling paraan para mailabas ang mga tunay na isyu sa seguridad nang hindi nagdaragdag ng karagdagang pasanin sa triage. Nakatulong ang mga pag-uusap na ito sa paghubog kung paano namin sinusuportahan ang komunidad ng open-source gamit ang Codex Security. Sa halip na bumuo ng malalaking volume ng mga haka-hakang natuklasan, bumubuo kami ng isang sistema na nagbibigay-priyoridad sa mga isyung may mataas na kumpiyansa na mabilis na maaaksyunan ng mga maintainer.
Bilang bahagi ng gawaing ito, nag-ulat kami ng mga kritikal na kahinaan sa seguridad sa ilang malawakang ginagamit na open-source na proyekto kabilang ang OpenSSH(magbubukas sa bagong window), GnuTLS(magbubukas sa bagong window), GOGS(magbubukas sa bagong window), Thorium(magbubukas sa bagong window) libssh, PHP, at Chromium, at iba pa. Labing-apat na CVE ang naitalaga, na may dobleng pag-uulat sa dalawa — nagbahagi kami ng ilang halimbawa sa Appendix.
Kamakailan, sinimulan naming i-onboard ang paunang cohort ng mga open-source maintainer sa Codex para sa OSS, ang aming programang sumusuporta sa ecosystem gamit ang mga libreng account ng ChatGPT Pro at Plus, pagsusuri ng code, at Seguridad sa Codex. Gumamit na ng Seguridad ng Codex ang mga proyektong tulad ng vLLM para maghanap at mag-patch ng mga isyu bilang bahagi ng kanilang normal na workflow.
Plano naming palawakin ang programa sa mga darating na linggo upang mas maraming tagapangalaga ang magkaroon ng direktang daan tungo sa mas mahusay na seguridad, mas matitibay na daloy ng trabaho sa pagsusuri, at suporta para sa mga open-source na gawaing inaasahan ng ecosystem. Kung isa kang tagapangalaga ng open-source at interesado, makipag-ugnayan.
Ilulunsad namin ang access sa Codex Security para sa mga customer ng ChatGPT Enterprise, Business, at Edu sa mga darating na araw. Tingnan ang mga dokumento namin(magbubukas sa bagong window) para matuto pa tungkol sa pag-set up ng Codex Security para sa team mo.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(magbubukas sa bagong window)
- GnuTLS Heap Buffer Overread sa Pag-parse ng SCT Extension — CVE-2025-32989(magbubukas sa bagong window)
- GnuTLS Double-Free sa otherName SAN Export — CVE-2025-32988(magbubukas sa bagong window)
- Paglampas sa 2FA GOGS — CVE-2025-64175(magbubukas sa bagong window)
- Paglampas sa auth nang walang pahintulot sa GOGS — CVE-2026-25242(magbubukas sa bagong window)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(magbubukas sa bagong window)
- LDAP injection (mga filter & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(magbubukas sa bagong window)
- Hindi na-authenticate na DoS & pang-aabuso sa email — resend_email_verification — CVE-2025-35432(magbubukas sa bagong window) , CVE-2025-35436(magbubukas sa bagong window)
- Hindi na-rotate ang session sa pagpapalit ng password — User::update_user — CVE-2025-35433(magbubukas sa bagong window)
- Naka-disable ang pag-verify ng TLS — Kliyente ng Elasticsearch — CVE-2025-35434(magbubukas sa bagong window)
- DoS: paghahati sa zero — /api/streams/depth/.../{split} — CVE-2025-35435(magbubukas sa bagong window)
- gpg-agent stack buffer overflow sa pamamagitan ng PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(magbubukas sa bagong window)
- Stack-based buffer overflow sa TPM2 PKDECRYPT para sa RSA at ECC dahil sa nawawalang pag-validate ng haba ng ciphertext — CVE-2026-24882(magbubukas sa bagong window)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(magbubukas sa bagong window)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(magbubukas sa bagong window)
Magpatuloy sa pagbabasa
