આજે અમે Codex Security રજૂ કરી રહ્યા છીએ, જે અમારો એપ્લિકેશન સુરક્ષા એજન્ટ છે. તે તમારા પ્રોજેક્ટ વિશે ઊંડો સંદર્ભ બનાવે છે જેથી અન્ય એજન્ટિક ટૂલ્સ ચૂકી જાય તેવી જટિલ ભેદ્યતાઓ ઓળખી શકે, અને વધુ વિશ્વસનીય નિષ્કર્ષો તથા એવા સુધારાઓ રજૂ કરે છે જે તમારા સિસ્ટમની સુરક્ષામાં અર્થપૂર્ણ સુધારો લાવે છે, સાથે સાથે નગણ્ય બગ્સના ગેરજરૂરી અવાજથી તમને બચાવે છે.
વાસ્તવિક સુરક્ષા જોખમોનું મૂલ્યાંકન કરતી વખતે સંદર્ભ અત્યંત જરૂરી છે, પરંતુ મોટાભાગના AI સુરક્ષા ટૂલ્સ માત્ર ઓછા પ્રભાવવાળા નિષ્કર્ષો અને ખોટા પોઝિટિવ દર્શાવે છે, જેના કારણે સુરક્ષા ટીમોને ટ્રાયેજમાં ઘણો સમય ખર્ચવો પડે છે. સાથે સાથે, એજન્ટ સોફ્ટવેર ડેવલપમેન્ટને ઝડપી બનાવી રહ્યા છે, જેના કારણે સુરક્ષા સમીક્ષા વધતી જતી રીતે એક મહત્વપૂર્ણ બોટલનેક બની રહી છે. Codex Security બંને પડકારોનો સામનો કરે છે. અમારા અત્યાધુનિક મોડલમાંથી મળતા એજન્ટિક રિઝનિંગને સ્વચાલિત માન્યકરણ સાથે જોડીને, તે ઉચ્ચ વિશ્વાસવાળા નિષ્કર્ષો અને કાર્યકારી સુધારાઓ આપે છે જેથી ટીમો મહત્વપૂર્ણ ભેદ્યતાઓ પર ધ્યાન કેન્દ્રિત કરી શકે અને સુરક્ષિત કોડ વધુ ઝડપથી શિપ કરી શકે.
અગાઉ Aardvark તરીકે ઓળખાતું, Codex Security ગયા વર્ષે થોડા ગ્રાહકોના નાના સમૂહ સાથે ખાનગી બેટા તરીકે શરૂ થયું હતું. શરૂઆતના આંતરિક ડિપ્લોયમેન્ટમાં, તેણે એક વાસ્તવિક SSRF, ગંભીર ક્રોસ-ટેનન્ટ ઓથેન્ટિકેશન ભેદ્યતા અને ઘણા અન્ય મુદ્દાઓ બહાર લાવ્યા, જેને અમારી સુરક્ષા ટીમે કલાકોમાં પેચ કર્યા. બાહ્ય ટેસ્ટર સાથેના પ્રારંભિક ડિપ્લોયમેન્ટે અમને વપરાશકર્તાઓ સંબંધિત પ્રોડક્ટ સંદર્ભ કેવી રીતે આપે છે અને ઓનબોર્ડિંગથી લઈને તેમના કોડને સુરક્ષિત કરવાની પ્રક્રિયા કેવી રીતે આગળ વધે છે તે સુધારવામાં મદદ કરી. અમે બેટા દરમિયાન અમારા નિષ્કર્ષોની ગુણવત્તામાં નોંધપાત્ર સુધારો કર્યો: સમય જતાં એ જ રિપોઝિટરી પર થયેલા સ્કેન વધુ ચોકસાઈ દર્શાવે છે, અને એક કિસ્સામાં પ્રારંભિક રોલઆઉટ પછી અવાજમાં 84% ઘટાડો થયો. અમે વધારીને દર્શાવવામાં આવેલી ગંભીરતાવાળા નિષ્કર્ષોની દરમાં 90%થી વધુ ઘટાડો કર્યો છે, અને બધા રિપોઝિટરીમાં શોધાણ પર ખોટા પોઝિટિવના દરમાં 50%થી વધુ ઘટાડો થયો છે. આ સુધારાઓ Codex Securityને દર્શાવવામાં આવેલી ગંભીરતાને વાસ્તવિક જોખમ સાથે વધુ સારી રીતે સુસંગત બનાવવામાં અને સુરક્ષા ટીમો પરનો ગેરજરૂરી ટ્રાયેજ ભાર ઘટાડવામાં મદદ કરે છે, અને અમને આશા છે કે signal-to-noise ratio સતત સુધરતું રહેશે.
આજથી, Codex Security આગામી એક મહિના માટે મફત ઉપયોગ સાથે Codex web મારફતે ChatGPT Pro, Enterprise, Business અને Edu ગ્રાહકો માટે રિસર્ચ પ્રિવ્યુમાં રોલઆઉટ થઈ રહ્યું છે.
Codex Security OpenAIના અત્યાધુનિક મોડલ અને Codex એજન્ટનો ઉપયોગ કરે છે. તે સિસ્ટમ-વિશિષ્ટ સંદર્ભમાં ભેદ્યતા શોધ, માન્યકરણ અને પેચિંગને ગ્રાઉન્ડિંગ કરીને અવાજ ઘટાડવામાં અને સુધારા ઝડપાવવામાં મદદ કરી શકે છે.
- સિસ્ટમ સંદર્ભ બનાવો અને સંપાદિત કરી શકાય એવો થ્રેટ મોડલ તૈયાર કરો: સ્કેન કન્ફિગર કર્યા પછી, તે તમારા રિપોઝિટરીનું વિશ્લેષણ કરીને સિસ્ટમની સુરક્ષા-સંબંધિત રચનાને સમજે છે અને એવો પ્રોજેક્ટ-વિશિષ્ટ થ્રેટ મોડલ બનાવે છે જે સિસ્ટમ શું કરે છે, તે શે પર વિશ્વાસ રાખે છે અને ક્યાં સૌથી વધુ એક્સપોઝ્ડ છે તે સમજાવી શકે. થ્રેટ મોડલને સંપાદિત કરી શકાય છે જેથી એજન્ટ તમારી ટીમ સાથે સુસંગત રહે.
- મુદ્દાઓને પ્રાથમિકતા આપો અને માન્ય કરો: થ્રેટ મોડલને સંદર્ભ તરીકે ઉપયોગ કરીને, તે ભેદ્યતાઓ શોધે છે અને તમારા સિસ્ટમમાં અપેક્ષિત વાસ્તવિક પ્રભાવના આધારે નિષ્કર્ષોને વર્ગીકૃત કરે છે. જ્યાં શક્ય હોય ત્યાં, તે સેન્ડબોક્સ કરાયેલા માન્યકરણ પર્યાવરણમાં નિષ્કર્ષોની કસોટી કરે છે જેથી ઉપયોગી સંકેતોને અવાજથી અલગ કરી શકાય. વપરાશકર્તાઓ આ વિશ્લેષણને validated findingsમાં જોઈ શકે છે. જ્યારે Codex Security તમારા પ્રોજેક્ટ માટે અનુરૂપ પર્યાવરણ સાથે કન્ફિગર થાય છે, ત્યારે તે ચાલી રહેલી સિસ્ટમના સંદર્ભમાં સીધા સંભવિત મુદ્દાઓનું માન્યકરણ કરી શકે છે. એ વધુ ઊંડું માન્યકરણ ખોટા પોઝિટિવને હજી વધુ ઘટાડે છે અને કાર્યકારી proof-of-concepts બનાવવાનું શક્ય બનાવે છે, જે સુરક્ષા ટીમોને વધુ મજબૂત પુરાવા અને સુધારાના વધુ સ્પષ્ટ માર્ગ આપે છે.
- પૂર્ણ સિસ્ટમ સંદર્ભ સાથે મુદ્દાઓને પેચ કરો: અંતે, Codex Security શોધાયેલા મુદ્દાઓ માટે એવા સુધારા સૂચવે છે જે સિસ્ટમના ઇરાદા અને આસપાસના વર્તન સાથે સુસંગત હોય. આ એવા પેચ શક્ય બનાવે છે જે રિગ્રેશન ઓછું કરતાં સુરક્ષા સુધારી શકે, જેથી તેમનું સમીક્ષણ અને અમલીકરણ વધુ સુરક્ષિત બને. વપરાશકર્તાઓ નિષ્કર્ષોને ફિલ્ટર કરી શકે છે જેથી તેઓ પોતાની ટીમ માટે સૌથી મહત્વપૂર્ણ અને સૌથી વધુ સુરક્ષા પ્રભાવ ધરાવતા મુદ્દાઓ પર ધ્યાન કેન્દ્રિત રાખી શકે.
Codex Security સમય જતાં તમારા પ્રતિસાદથી પણ શીખી શકે છે જેથી તેના નિષ્કર્ષોની ગુણવત્તામાં સુધારો થાય. જ્યારે તમે કોઈ નિષ્કર્ષની ગંભીરતા સમાયોજિત કરો છો, ત્યારે તે પ્રતિસાદનો ઉપયોગ થ્રેટ મોડલને વધુ સુધારવા અને અનુગામી રનમાં ચોકસાઈ સુધારવા માટે કરી શકે છે, કારણ કે તે તમારી આર્કિટેક્ચર અને જોખમ સ્થિતિમાં શું મહત્વનું છે તે શીખે છે.
તે મોટા પાયે કાર્ય કરવા અને સરળતાથી સ્વીકારી શકાય એવા પેચ સાથે સૌથી વધુ વિશ્વાસવાળા નિષ્કર્ષો રજૂ કરવા માટે ડિઝાઇન કરવામાં આવ્યું છે. છેલ્લા 30 દિવસમાં, Codex Securityએ અમારા બેટા કોહોર્ટની બાહ્ય રિપોઝિટરીમાં 1.2 મિલિયનથી વધુ commits સ્કેન કર્યા, જેમાં 792 ગંભીર નિષ્કર્ષો અને 10,561 ઉચ્ચ-ગંભીરતા નિષ્કર્ષો ઓળખાયા. ગંભીર મુદ્દાઓ સ્કેન કરાયેલા commitsના 0.1%થી પણ ઓછામાં દેખાયા, જે દર્શાવે છે કે સિસ્ટમ સમીક્ષકો માટે અવાજ ઓછો રાખીને મોટા પ્રમાણમાં કોડમાં સુરક્ષા-પ્રભાવક મુદ્દાઓ ઓળખી શકે છે.
“ઉત્પાદન સુરક્ષા પર અત્યંત કેન્દ્રિત કંપની તરીકે, NETGEAR માટે અર્લી એક્સેસ પ્રોગ્રામમાં જોડાવું આનંદદાયક હતું, અને પરિણામોએ અપેક્ષાઓને પાર કરી. Codex Security અમારી મજબૂત સુરક્ષા વિકાસ પરિસ્થિતિમાં સહેલાઈથી એકીકૃત થયું, અને અમારી સમીક્ષા પ્રક્રિયાઓની ઝડપ અને ઊંડાણને વધુ મજબૂત બનાવ્યું. તેના નિષ્કર્ષો અસરકારક રીતે સ્પષ્ટ અને વ્યાપક હતા, અને ઘણી વાર એવું લાગતું હતું કે કોઈ અનુભવી ઉત્પાદન સુરક્ષા સંશોધક અમારી સાથે કામ કરી રહ્યો હોય.”
ઓપન સોર્સ સોફ્ટવેર આધુનિક સિસ્ટમોની પાયાની રચના કરે છે, જેમાં અમારી પોતાની સિસ્ટમો પણ સામેલ છે. અમે સૌથી વધુ નિર્ભર રહેલી ઓપન-સોર્સ રિપોઝિટરી સ્કેન કરવા માટે Codex Securityનો ઉપયોગ કરી રહ્યા છીએ, અને ઓળખેલા ઉચ્ચ-પ્રભાવવાળા સુરક્ષા નિષ્કર્ષો મેઇન્ટેનર્સ સાથે શેર કરી રહ્યા છીએ જેથી તે પાયો વધુ મજબૂત બને.
મેઇન્ટેનર્સ સાથેની અમારી ચર્ચાઓમાં એક સતત મુદ્દો સામે આવ્યો: પડકાર ભેદ્યતા રિપોર્ટોની અછતનો નથી, પરંતુ નીચી ગુણવત્તાવાળાં રિપોર્ટોની અતિશય સંખ્યાનો છે. મેઇન્ટેનર્સે અમને કહ્યું કે તેમને ઓછા ખોટા પોઝિટિવ અને વાસ્તવિક સુરક્ષા મુદ્દાઓ બહાર લાવવા માટે વધુ ટકાઉ રીત જોઈએ છે, જે વધારાનો ટ્રાયેજ ભાર ઊભો ન કરે. આ ચર્ચાઓએ Codex Security સાથે ઓપન સોર્સ સમુદાયને અમે કેવી રીતે સહાય આપી રહ્યા છીએ તે ઘડવામાં મદદ કરી. મોટા પ્રમાણમાં કલ્પિત નિષ્કર્ષો બનાવવાને બદલે, અમે એવી સિસ્ટમ બનાવી રહ્યા છીએ જે ઉચ્ચ વિશ્વાસવાળા મુદ્દાઓને પ્રાથમિકતા આપે છે અને જેના પર મેઇન્ટેનર્સ ઝડપથી કાર્યવાહી કરી શકે.
આ કાર્યના ભાગરૂપે, અમે અનેક વ્યાપક રીતે વપરાતા ઓપન-સોર્સ પ્રોજેક્ટોમાં ગંભીર ભેદ્યતાઓ રિપોર્ટ કરી, જેમાં OpenSSH(નવી વિન્ડોમાં ખૂલે છે), GnuTLS(નવી વિન્ડોમાં ખૂલે છે), GOGS(નવી વિન્ડોમાં ખૂલે છે), Thorium(નવી વિન્ડોમાં ખૂલે છે), libssh, PHP અને Chromium સહિત અન્યનો સમાવેશ થાય છે. ચૌદ CVE સોંપવામાં આવ્યા છે, જેમાં બે પર dual reporting છે — અમે Appendixમાં કેટલાક ઉદાહરણો શેર કર્યા છે.
અમે તાજેતરમાં Codex for OSSમાં ઓપન-સોર્સ મેઇન્ટેનર્સના પ્રારંભિક સમૂહને ઓનબોર્ડ કરવાનું શરૂ કર્યું છે, જે ઇકોસિસ્ટમને મફત ChatGPT Pro અને Plus એકાઉન્ટ, કોડ રિવ્યુ અને Codex Security સાથે સમર્થન આપવા માટેનું અમારું કાર્યક્રમ છે. vLLM જેવા પ્રોજેક્ટોએ પહેલેથી જ Codex Securityનો ઉપયોગ પોતાના સામાન્ય વર્કફ્લોના ભાગરૂપે મુદ્દાઓ શોધવા અને પેચ કરવા માટે કર્યો છે.
આગામી અઠવાડિયોમાં અમે કાર્યક્રમનો વિસ્તાર કરવાની યોજના ધરાવીએ છીએ જેથી વધુ મેઇન્ટેનર્સને વધુ સારી સુરક્ષા, વધુ મજબૂત સમીક્ષા વર્કફ્લો અને ઇકોસિસ્ટમ નિર્ભર રહે છે તે ઓપન-સોર્સ કાર્ય માટે સીધો આધાર મળી રહે. જો તમે ઓપન-સોર્સ મેઇન્ટેનર હો અને રસ ધરાવતા હો, તો કૃપા કરીને સંપર્ક કરો.
આગામી દિવસોમાં અમે ChatGPT Enterprise, Business અને Edu ગ્રાહકો માટે Codex Security ઍક્સેસ રોલઆઉટ કરીશું. તમારી ટીમ માટે Codex Security કેવી રીતે સેટ કરવું તે વિશે વધુ જાણવા અમારા દસ્તાવેજો(નવી વિન્ડોમાં ખૂલે છે) જુઓ.
Codex Security દ્વારા શોધાયેલ ઊંચા પ્રભાવવાળી OSS ભેદ્યતાઓના ઉદાહરણો:
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(નવી વિન્ડોમાં ખૂલે છે)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(નવી વિન્ડોમાં ખૂલે છે)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(નવી વિન્ડોમાં ખૂલે છે)
- 2FA Bypass GOGS — CVE-2025-64175(નવી વિન્ડોમાં ખૂલે છે)
- Unauth bypass GOGS — CVE-2026-25242(નવી વિન્ડોમાં ખૂલે છે)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(નવી વિન્ડોમાં ખૂલે છે)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(નવી વિન્ડોમાં ખૂલે છે)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(નવી વિન્ડોમાં ખૂલે છે) , CVE-2025-35436(નવી વિન્ડોમાં ખૂલે છે)
- Session not rotated on password change — User::update_user — CVE-2025-35433(નવી વિન્ડોમાં ખૂલે છે)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(નવી વિન્ડોમાં ખૂલે છે)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(નવી વિન્ડોમાં ખૂલે છે)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(નવી વિન્ડોમાં ખૂલે છે)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(નવી વિન્ડોમાં ખૂલે છે)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(નવી વિન્ડોમાં ખૂલે છે)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(નવી વિન્ડોમાં ખૂલે છે)
