Inniu táimid ag tabhairt isteach Codex Security, ár ngníomhaire slándála feidhmchlár. Tógann sé comhthéacs domhain do thionscadail chun leochaileachtaí casta a aithint a chailleann uirlisí gníomhacha eile, ag tabhairt tortha níos muiníní le ceartúcháin a fheabhsaíonn slándáil do chórais go bríoch agus a choisceann torann fabhtanna neamhshuntasacha ort.
Tá comhthéacs riachtanach agus fíor-rioscaí slándála á meas, ach ní dhéanann formhór na n-uirlisí slándála AI ach tortha ísealtionchair agus dearfacha bréagacha a bhratach, rud a chuireann iallach ar fhoirne slándála am suntasach a chaitheamh ar thríriú. Ag an am céanna, tá gníomhairí ag luasghéarú forbeartha bogearraí, rud a fhágann gur bacainn atá ag éirí níos criticiúla é athbhreithniú slándála. Tugann Codex Security aghaidh ar an dá dhúshlán. Trí réasúnaíocht ghníomhach ónár samhlacha teorann a chomhcheangal le bailíochtú uathoibrithe, seachadann sé tortha ardmhuiníne agus ceartúcháin inghníomhaithe ionas gur féidir le foirne díriú ar na leochachtaí is tábhachtaí agus cód slán a sheoladh níos tapa.
Ar a dthe mar Aardvark, thaistil Codex Security anuraidh mar bhhéite phríobháideach le grúpa beag custaiméirí. I gcéad imlonnuithe inmheánacha, chuir sé SSRF fíor, leochaileacht fhíordheimhnithe tras-thionónta criticiúil, agus go leor saincheisteanna eile chun solais a phaisteáil ár bhfoireann slándála laistigh d’uaireanta. Chabhraigh imlonnuith luatha le tástálaithe seachtracha linn feabhas a chur ar an gcaoi a gcuireann úsáideoirí comhthéacs táirge ábhartha ar fáil agus bogadh ó bhordáil go dtí a gcód a dhaingniú. Chuir muid feabhas suntasach freisin ar cháil ár dtorthaí le linn na béite: léiríonn scananna ar na stórtha céanna le himeacht ama becruinneas méadaithe, agus i gcás amháin laghdaíodh torann 84% ón gcéad rolladh amach. Tá ráta na dtorthaí le déine ró-thuairiscithe laghdaithe againn níos mó ná 90%, agus tá rátaí dearfacha bréagacha ar bhrath timpeall na stórtha go léir tite níos mó ná 50%. Cuidíonn na feabhsuithe seo le Codex Security déine tuairiscithe a ailíniú níos fearr le riosca sa saol agus agus laghdaíonn siad ualach tríriú neamhriachtanach d’fhoirne slándála, agus táimid ag súil go leanfaidh an cóimheas comhartha-go-the ag feabhsú.
Ag tosú inniu, tá Codex Security á rolladh amach i réamhamharc taighde do chustaiméirí ChatGPT Pro, Enterprise, Business, agus Edu trí ghréasán Codex le húsáid saor in aisce don chéad mhí eile.
Úsáideann Codex Security samhlacha teorann OpenAI agus an gníomhaire Codex. Is féidir leis torann a laghdú agus leasú a bhrostú trí fhionnachtain leochaileachta, bailíochtú agus paistiú a bhunú i gcomhthéacs córais-shonrach.
- Tóg comhthéacs an chórais agus cruthaigh samhail bhagartha in-eagarthóireachta: Tar éis scanadh a chumrú, déanann sé anailís ar do stór chun struchtúr slándála-ábhartha an chórais a thuiscint agus gineann sé samhail bhagartha tionscadtha-shonrach ar féidir léi an córas a dhéanamh, an méid a chuireann sé muinín ann, agus an áit is mó atá nochtaithe aige a ghabháil. Is féidir samhlacha bagartha a chur in eagar chun an gníomhaire a choinneáil ailínithe le d’fhoireann.
- Tosaíocht a thabhairt do sheancheisteanna agus iad a bhailíochtú: Ag baint úsáide as an tsamhail bhagartha mar chomhthéacs, déanann sé cuardach ar leochaileachtaí agus catagóiríonn sé torthaí bunaithe ar an tionchar ionchais sa saol ar do chóras. Nuair is féidir, déanann sé tástáil bhrú ar thortha i dtimpeallachtaí bailíochtaithe gaineamhbhosca chun comhartha a idirdhealú ó thorann. Is féidir le húsáideoirí an anailís seo a fheiceáil sna torthaí bailíochtaithe. Nuair a chumraítear Codex Security le timpeallacht atá oiriúnaithe do d’fhoireann,, is féidir leis saincheisteanna féideartha a bhailíochtú go díreach i gcomhthéacs an an chórais. Is féidir leis an mbailíochtú níos doimhne sin dearfacha bréagacha a laghdú níos faide fós agus cruthú coincheap-cruthúnas oibre a chumasú, ag tabhairt fianaise níos láidre agus cosán níos soiléire chuig leigheas d’fhoirne slándála.
- Paistigh saincheisteanna le comhthéacs iomlán córais: Faoi dheireadh, molann Codex Security ceartúcháin do na saincheisteanna aimsithe a ailíníonn le hintinn an chórais agus iompar máguaird. Cumasaíonn sé seo paistí ar féidir leo slándáil a fheabhsú agus aischéimeanna á n-íoslaghdú, rud a fhágann go bhfuil siad níos sábháilte le hathbhreithniú agus le tabhairt i dtír. Is féidir le húsáideoirí na tortha a scagadh ionas go bhfanfaidh siad dírithe ar an rud is tábhachtaí dá bhfoireann agus a bhfuil an tionchar slándála is airde aige.
Is féidir le Codex Security foghlaim ó d’aiseolas le himeacht ama freisin chun cáil a thortha a fheabhsú. Nuair a choigeartaíonn tú criticiúlacht toraidh, is féidir leis an aiseolas sin a úsáid chun an tsamhail bhagartha a bheachtú agus beachtas a fheabhsú ar rithe ina dhiaidh sin agus é ag foghla ar an méid a i do ailtireacht agus i do staid riosca.
Tá sé deartha chun oibriú ar scéar agus na torthaí is airde muiníne a thabhairt chun solais le paistí atá éasca glacadh leo. Le 30 lá anuas, scanadh Codex Security níos mó ná 1.2 milliún gealltanas thar stórtha seachtracha inár gcohórt béite, ag aithint 792 toradh criticiúil agus 10,561 toradh ard-déine. Bhí saincheisteanna criticiúla le feiceáil i níos lú ná 0.1% de ghealltanais scanáilte, rud a léiríonn gur féidir leis an gcóras saincheisteanna a bhfuil tionchar slándála acu a aithint i méanna móra cód agus torann á íoslaghdú d’athbhreithneoirí.
“Mar chuideachta atá thar a bheith dírithe ar shlándáil táirgí, bhíomar sásta páirt a ghlacadh sa chlár luathrochtana, agus sháraigh na torthaí na hionchais. D’oir Codex Security go dícheallach lenár dtimpeallacht láidir forbartha slándála, ag cur le raon agus doimhneacht ár bpróiseas athbhreithnithe. Bhí a thorthaí thar a bheith soiléir agus cuimsitheach, agus ba mhinic a mhothaítí amhail is go raibh taighdeoir slándála táirgí a raibh taithí aige ag obair in éineacht linn.”
Is é bogearraí foinse oscailte bunchloch na gcóras nua-aimseartha, ár gcuid féin san áireamh. Táimid tar éis Codex Security a úsáid chun na stórtha foinse oscailte is mó a mbímid ag brath orthu a scanadh, ag roinnt torthaí slándála ardtionchair a aithnímid le cothaitheoirí chun an bunús sin a neartú.
Inár gcomhráite le cothaitheoirí, tháinig téamaí comhsheasmhacha chun cinn: ní easpa tuairiscí leochaileachta atá sa dúshlán, ach an iomarca cinn ísealchaighdeáin. Dúirt cothaitheoirí linn go dteastaíonn níos lú dearfacha bréagacha uathu agus bealach níos inbhuanaithe chun fíor-shaincheisteanna slándála a thabhairt chun solais gan ualach tríriú breise a chruthú. Chabhraigh na comhráite seo le múnlú a thabhairt ar an gcaoi a bhfuilimid ag tacú leis an bpobal foinse oscailte le Codex Security. Seachas líon mór torthaí amhantracha a ghiniúint, táimid ag tógáil córais a thugann tosaíocht do shaincheisteanna ardmhuiníne ar féidir le cothaitheoirí gníomhú orthu go tapa.
Mar chuid den obair seo, thuairiscíomar leochaileachtaí criticiúla do roinnt tionscadal foinse oscailte a úsáidtear go forleathan lena n-áirítear OpenSSH(osclaíonn i bhfuinneog nua), GnuTLS(osclaíonn i bhfuinneog nua), GOGS(osclaíonn i bhfuinneog nua), Thorium(osclaíonn i bhfuinneog nua) libssh, PHP, agus Chromium, agus eile. Sannadh ceithre CVE dhéag le tuairisciú déach ar dhá cheann — roinneamar roinnt samplaí san Aguisín.
Le déanaí thosaíomar ar chomhórt tosaigh de chothaitheoirí foinse oscailte a chur ar bord i Codex for OSS, ár gclár chun tacú leis an éiceachóras le cuntais ChatGPT Pro agus Plus saor in aisce, athbhreithniú cód, agus Codex Security. Tá tionscadail cosúil le vLLM tar éis Codex Security a úsáid cheana féin chun saincheisteanna a aimsiú agus a phaisteáil mar chuid dá sreabhadh oibre gnáth.
Tá sé beartaithe againn an clár a leathnú sna seachtainí amach romhainn ionas go mbeidh cosán díreach ag níos mó cothaitheoirí chuig slándáil níos fearr, sreafa athbhreithnithe níos láidre, agus tacaíocht don obair foinse oscailte a mbraitheann an t-éiceachóras orthu. Más cothaitheoir foinse oscailte thú agus suim agat ann, déan teagmháil linn.
Beimid ag rolladh amach rochtain Codex Security chuig custaiméirí ChatGPT Enterprise, Business, agus Edu sna laethanta amach romhainn. Féach ar ár ndoiciméid(osclaíonn i bhfuinneog nua) chun tuilleadh a fhoghlaim faoi Codex Security a chur ar bun do d’fhoireann.
Samplaí de leochaileachtaí OSS ardtionchair a d’aimsigh Codex Security:
- Ró-shreabhadh Heap-Buffer certtool GnuTLS (As-Feadh-Aon) — CVE-2025-32990(osclaíonn i bhfuinneog nua)
- Ró-léamh Maoláin Heap GnuTLS i bParsáil Eisínte SCT — CVE-2025-32989(osclaíonn i bhfuinneog nua)
- Double-Free GnuTLS in easpórtáil SAN otherName — CVE-2025-32988(osclaíonn i bhfuinneog nua)
- Seachbhóthar 2FA GOGS — CVE-2025-64175(osclaíonn i bhfuinneog nua)
- Seachbhóthar unauth GOGS — CVE-2026-25242(osclaíonn i bhfuinneog nua)
- Trasnú conaire (scríobh treallach) — download_ephemeral, download_children (gníomhaire) — CVE-2025-35430(osclaíonn i bhfuinneog nua)
- Instealladh LDAP (filters & DN) — TldapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(osclaíonn i bhfuinneog nua)
- DoS neamhfhíordheimhnithe & mí-úsáid ríomhphoist — resend_email_verification — CVE-2025-35432(osclaíonn i bhfuinneog nua) , CVE-2025-35436(osclaíonn i bhfuinneog nua)
- Ní rothlaítear an seisiún ar athrú pasfhocail — User::update_user — CVE-2025-35433(osclaíonn i bhfuinneog nua)
- Fíorú TLS díchumasaithe — cliant Elasticsearch — CVE-2025-35434(osclaíonn i bhfuinneog nua)
- DoS: roinnt ar nialas — /api/streams/depth/.../{split} — CVE-2025-35435(osclaíonn i bhfuinneog nua)
- Ró-shreabhadh maoláin chruaigh gpg-agent trí PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(osclaíonn i bhfuinneog nua)
- Ró-shreabhadh maoláin chairn-bhunaithe in TPM2 PKDECRYPT do RSA agus ECC mar gheall ar bhailíochtú fad ciphertext ar iarraidh — CVE-2026-24882(osclaíonn i bhfuinneog nua)
- Ró-shreabhadh maoláin chruaigh paraiméadair ASN.1 AES-GCM CMS_(PKCS7 — CVE-2025-15467(osclaíonn i bhfuinneog nua)
- Ró-shreabhadh keyLength PKCS#12 PBMAC1 PBKDF2 + seachbhóthar MAC — CVE-2025-11187(osclaíonn i bhfuinneog nua)
Lean ort ag léamh
