Codex Security est maintenant offert en aperçu de recherche.

Aujourd’hui, nous présentons Codex Security, notre agent de sécurité des applications. Il développe une compréhension approfondie de votre projet afin de repérer des vulnérabilités complexes que d’autres outils agentiques ne détectent pas, en mettant en évidence des constats plus fiables accompagnés de correctifs qui améliorent réellement la sécurité de votre système, tout en vous épargnant le signalement de bogues mineurs.

Le contexte est essentiel pour évaluer les risques de sécurité réels, mais la plupart des outils de sécurité fondés sur l’IA se contentent de signaler des constats à faible impact et des faux positifs, obligeant les équipes de sécurité à consacrer beaucoup de temps au triage. Parallèlement, les agents accélèrent le développement logiciel, ce qui fait de la révision de sécurité un goulot d’étranglement de plus en plus critique.

Codex Security répond à ces deux défis. En combinant le raisonnement agentique de nos modèles de pointe à une validation automatisée, il fournit des constats fiables et des correctifs concrets, afin que les équipes puissent se concentrer sur les vulnérabilités qui comptent vraiment et livrer du code sécurisé plus rapidement.

Anciennement connu sous le nom de Aardvark⁠, Codex Security a commencé l’an dernier sous forme de bêta privée avec un petit groupe de clients. Lors des premiers déploiements internes, il a révélé une véritable vulnérabilité SSRF, une vulnérabilité critique d’authentification entre locataires, ainsi que de nombreux autres problèmes que notre équipe de sécurité a corrigés en quelques heures. Les premiers déploiements auprès de testeurs externes nous ont aidés à améliorer la façon dont les utilisateurs fournissent le contexte produit pertinent et passent de la phase d’intégration à la sécurisation de leur code. Nous avons aussi considérablement amélioré la qualité de nos constats au fil de la phase bêta : les analyses réalisées sur les mêmes dépôts au fil du temps montrent une précision croissante, dans un cas ayant réduit les faux positifs de 84 % depuis le déploiement initial.  Nous avons réduit de plus de 90 % le nombre de constats dont la gravité était surestimée, et le taux de faux positifs dans les détections a diminué de plus de 50 % dans l’ensemble des dépôts. Ces améliorations permettent à Codex Security de mieux aligner la gravité signalée sur le risque réel et de réduire le triage inutile pour les équipes de sécurité, et nous prévoyons que la proportion de résultats pertinents continuera de s’améliorer à mesure que nous poursuivrons nos investissements.

À compter d’aujourd’hui, Codex Security est en cours de déploiement pour les clients ChatGPT Enterprise, Business et Edu via Codex web, avec une utilisation gratuite pendant le prochain mois.

Codex Security tire parti des modèles de pointe d’OpenAI et de l’agent Codex. Il peut réduire les faux positifs et accélérer la correction des vulnérabilités en ancrant la découverte, la validation et la correction des vulnérabilités dans le contexte propre au système.

1. Établir le contexte du système et créer un modèle de menaces modifiable : Après la configuration d’une analyse, il examine votre dépôt afin de comprendre la structure du système pertinente pour la sécurité et génère un modèle de menaces propre au projet qui décrit le fonctionnement du système, les éléments auxquels il accorde sa confiance et les points où il est le plus exposé. Les modèles de menaces peuvent être modifiés pour que l’agent reste aligné sur votre équipe.
2. Prioriser et valider les problèmes : En s’appuyant sur le modèle de menaces comme contexte, il recherche des vulnérabilités et classe les constats selon leur impact attendu dans des conditions réelles sur votre système. Dans la mesure du possible, il met les constats à l’épreuve dans des environnements de validation isolés afin de distinguer les résultats pertinents des faux positifs. Les utilisateurs peuvent voir cette analyse dans les résultats validés. Lorsque Codex Security est configuré avec un environnement adapté à votre projet, il peut valider les problèmes potentiels directement dans le contexte du système en cours d’exécution. Cette validation plus approfondie peut réduire encore davantage les faux positifs et permettre la création de preuves de concept fonctionnelles, offrant aux équipes de sécurité des preuves plus solides et une voie plus claire vers la correction.
3. Corriger les problèmes avec le contexte complet du système : Enfin, Codex Security propose des correctifs pour les problèmes détectés qui respectent l’intention du système et son fonctionnement global. Cela permet d’appliquer des correctifs qui peuvent améliorer la sécurité tout en minimisant les régressions, ce qui les rend plus sûrs à examiner et à intégrer. Les utilisateurs peuvent filtrer les résultats afin de rester concentrés sur ce qui compte le plus pour leur équipe et ce qui a le plus grand impact sur la sécurité.

Codex Security peut également apprendre de vos rétroactions au fil du temps afin d’améliorer la qualité de ses résultats. Lorsque vous ajustez la criticité d’un constat, il peut utiliser cette rétroaction pour affiner le modèle de menaces et améliorer la précision lors des analyses suivantes, à mesure qu’il apprend ce qui compte dans votre architecture et votre profil de risque.

Il est conçu pour fonctionner à grande échelle et faire ressortir les résultats les plus fiables avec des correctifs faciles à accepter. Au cours des 30 derniers jours, Codex Security a analysé plus de 1,2 million de commits dans des dépôts externes au sein de notre cohorte bêta, en identifiant 792 constats critiques et 10 561 constats de gravité élevée. Les problèmes critiques sont apparus dans moins de 0,1 % des commits analysés, ce qui montre que le système peut repérer des problèmes ayant un impact sur la sécurité dans de grands volumes de code tout en limitant les faux positifs pour les réviseurs.

Les logiciels à code source ouvert constituent la base des systèmes modernes, y compris les nôtres. Nous utilisons Codex Security pour analyser les dépôts à code source ouvert dont nous dépendons le plus, et nous partageons avec les responsables de ces projets les constats de sécurité à fort impact que nous identifions afin de contribuer à renforcer cette base.

Dans nos échanges avec les responsables de projets, un constat revient souvent : le problème n’est pas le manque de rapports de vulnérabilité, mais leur trop grand nombre lorsqu’ils sont de faible qualité. Les responsables de projets nous ont dit avoir besoin de moins de faux positifs et d’une façon plus durable de faire ressortir les véritables problèmes de sécurité, sans alourdir davantage le travail de triage. Ces échanges ont contribué à orienter la façon dont nous soutenons la communauté du code source ouvert avec Codex Security. Plutôt que de générer de grands volumes de constats spéculatifs, nous concevons un système qui priorise les problèmes à forte fiabilité sur lesquels les responsables de projets peuvent agir rapidement.

Dans le cadre de ce travail, nous avons signalé des vulnérabilités critiques à plusieurs projets à code source ouvert largement utilisés, notamment OpenSSH⁠(s'ouvre dans une nouvelle fenêtre), GnuTLS⁠(s'ouvre dans une nouvelle fenêtre), GOGS⁠(s'ouvre dans une nouvelle fenêtre), Thorium⁠(s'ouvre dans une nouvelle fenêtre), libssh, PHP et Chromium, entre autres. Quatorze CVE ont été attribuées, dont deux avec double signalement — nous en présentons quelques exemples en annexe.

Nous avons récemment commencé à intégrer un premier groupe de responsables de projets à code source ouvert dans Codex for OSS, notre programme visant à soutenir l’écosystème en offrant des comptes ChatGPT Pro et Plus gratuits, des outils de révision de code et Codex Security. Des projets comme vLLM ont déjà utilisé Codex Security pour déceler et corriger des problèmes dans le cadre de leur flux de travail habituel.

Nous prévoyons d'élargir le programme au cours des prochaines semaines afin que davantage de responsables de projets aient un accès direct à une meilleure sécurité, à des flux de travail de révision plus solides et à du soutien pour les projets à code source ouvert dont dépend l’écosystème. Si vous êtes responsable d’un projet à code source ouvert et que cela vous intéresse, contactez-nous⁠.

Nous déploierons l’accès à Codex Security pour les clients ChatGPT Enterprise, Business et Edu au cours des prochains jours. Consultez notre documentation⁠(s'ouvre dans une nouvelle fenêtre) pour en savoir plus sur la configuration de Codex Security pour votre équipe.

• GnuTLS certtool Dépassement de tampon de tas (décalage d’une unité) — CVE-2025-32990⁠(s'ouvre dans une nouvelle fenêtre)
• Surlecture de tampon de tas GnuTLS lors de l’analyse de l’extension SCT — CVE-2025-32989⁠(s'ouvre dans une nouvelle fenêtre)
• Double-Free de GnuTLS lors de l’exportation SAN otherName — CVE-2025-32988⁠(s'ouvre dans une nouvelle fenêtre)
• Contournement 2FA GOGS — CVE-2025-64175⁠(s'ouvre dans une nouvelle fenêtre)
• Contournement d’authentification GOGS — CVE-2026-25242⁠(s'ouvre dans une nouvelle fenêtre)
• Parcours de chemin (écriture arbitraire) — download_ephemeral, download_children (agent) — CVE-2025-35430⁠(s'ouvre dans une nouvelle fenêtre)
• Injection LDAP (filtres & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(s'ouvre dans une nouvelle fenêtre)
• DoS non authentifié & abus de courriel — resend_email_verification — CVE-2025-35432⁠(s'ouvre dans une nouvelle fenêtre) , CVE-2025-35436⁠(s'ouvre dans une nouvelle fenêtre)
• Session non renouvelée lors du changement de mot de passe — User::update_user — CVE-2025-35433⁠(s'ouvre dans une nouvelle fenêtre)
• Vérification TLS désactivée — Client Elasticsearch — CVE-2025-35434⁠(s'ouvre dans une nouvelle fenêtre)
• DoS : division par zéro — /api/streams/depth/.../{split} — CVE-2025-35435⁠(s'ouvre dans une nouvelle fenêtre)
• Dépassement de tampon de pile de gpg-agent via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881⁠(s'ouvre dans une nouvelle fenêtre)
• Dépassement de tampon basé sur la pile dans TPM2 PKDECRYPT pour RSA et ECC en raison de l’absence de validation de la longueur du texte chiffré — CVE-2026-24882⁠(s'ouvre dans une nouvelle fenêtre)
• CMS/PKCS7 AES-GCM ASN.1 params dépassement de tampon de pile — CVE-2025-15467⁠(s'ouvre dans une nouvelle fenêtre)
• PKCS#12 PBMAC1 PBKDF2 débordement de keyLength + contournement du MAC — CVE-2025-11187⁠(s'ouvre dans une nouvelle fenêtre)