Codex Security अब रिसर्च प्रीव्यू के रूप में उपलब्ध है
आज हम Codex Security पेश कर रहे हैं, जो हमारा एप्लिकेशन सिक्योरिटी एजेंट है. यह आपके प्रोजेक्ट के बारे में गहरा कॉन्टेक्स्ट बनाता है ताकि उन जटिल कमजोरियों की पहचान कर सके जिन्हें अन्य एजेंटिक टूल्स नहीं पकड़ पाते, और उच्च-विश्वसनीयता वाले निष्कर्ष उनके समाधान के साथ सामने लाता है, जो आपके सिस्टम की सिक्योरिटी को वास्तविक रूप से बेहतर बनाते हैं और आपको महत्वहीन बग्स के शोर से बचाते हैं.
वास्तविक सिक्योरिटी जोखिमों का मूल्यांकन करते समय कॉन्टेक्स्ट बेहद आवश्यक होता है, लेकिन अधिकांश AI सिक्योरिटी टूल्स केवल कम-प्रभाव वाले निष्कर्ष और false positives को फ्लैग करते हैं, जिससे सिक्योरिटी टीमों को ट्रायेज में काफी समय लगाना पड़ता है. इसी समय, एजेंट्स सॉफ़्टवेयर डेवलपमेंट को तेज़ कर रहे हैं, जिससे सिक्योरिटी रिव्यू एक बढ़ती हुई महत्वपूर्ण बाधा बन रहा है.
Codex Security इन दोनों चुनौतियों का समाधान करता है. हमारे फ्रंटियर मॉडलों की एजेंटिक रीज़निंग को ऑटोमेटेड वैलिडेशन के साथ मिलाकर, यह उच्च-विश्वसनीयता वाले निष्कर्ष और लागू किए जा सकने वाले समाधान देता है, ताकि टीमें महत्वपूर्ण कमजोरियों पर ध्यान दे सकें और सुरक्षित कोड को तेज़ी से जारी कर सकें.
पहले Aardvark के नाम से जाना जाने वाला Codex Security पिछले साल ग्राहकों के एक छोटे समूह के साथ प्राइवेट बीटा के रूप में शुरू हुआ था. शुरुआती आंतरिक डिप्लॉयमेंट्स में, इसने एक वास्तविक SSRF, एक गंभीर क्रॉस-टेनेंट ऑथेंटिकेशन कमजोरी और कई अन्य समस्याएँ उजागर कीं, जिन्हें हमारी सिक्योरिटी टीम ने कुछ ही घंटों में ठीक कर दिया. बाहरी टेस्टर्स के साथ शुरुआती डिप्लॉयमेंट्स ने हमें यह बेहतर बनाने में मदद की कि यूज़र्स प्रासंगिक प्रॉडक्ट कॉन्टेक्स्ट कैसे प्रदान करते हैं और ऑनबोर्डिंग से अपने कोड को सुरक्षित करने तक कैसे आगे बढ़ते हैं. बीटा के दौरान हमने अपनी फ़ाइंडिंग्स की गुणवत्ता में भी महत्वपूर्ण सुधार किया: समय के साथ एक ही रिपॉज़िटरी पर किए गए स्कैन बढ़ती हुई सटीकता दिखाते हैं, और एक मामले में शुरुआती रोलआउट के बाद से शोर को 84% तक कम कर दिया गया. हमने अत्यधिक रिपोर्ट की गई गंभीरता वाली फ़ाइंडिंग्स की दर को 90% से अधिक कम किया है, और सभी रिपॉज़िटरीज़ में डिटेक्शन्स पर फ़ॉल्स पॉज़िटिव्स की दर 50% से अधिक घट गई है. ये सुधार Codex Security को रिपोर्ट की गई गंभीरता को वास्तविक जोखिम के साथ बेहतर रूप से मिलाने में मदद करते हैं और सिक्योरिटी टीमों के लिए अनावश्यक ट्रायेज का बोझ कम करते हैं, और हमें उम्मीद है कि आगे के निवेश के साथ सिग्नल-टू-नॉइज़ अनुपात और बेहतर होता रहेगा.
आज से, Codex Security Codex web के माध्यम से ChatGPT Enterprise, Business और Edu ग्राहकों के लिए रोलआउट हो रहा है, और अगले एक महीने तक इसका उपयोग मुफ्त रहेगा.
Codex Security, OpenAI के फ्रंटियर मॉडल्स और Codex एजेंट का उपयोग करता है. यह सिस्टम-विशिष्ट कॉन्टेक्स्ट में कमजोरियों की खोज, सत्यापन और पैचिंग को आधार बनाकर शोर को कम करता है और सुधार प्रक्रिया को तेज़ करता है.
- सिस्टम कॉन्टेक्स्ट तैयार करें और एक संपादन योग्य थ्रेट मॉडल बनाएं: स्कैन को कॉन्फ़िगर करने के बाद, यह आपके रिपॉज़िटरी का विश्लेषण करता है ताकि सिस्टम की सिक्योरिटी से जुड़ी संरचना को समझ सके और एक प्रोजेक्ट-विशिष्ट थ्रेट मॉडल तैयार कर सके, जो यह दर्शा सके कि सिस्टम क्या करता है, वह किन चीज़ों पर भरोसा करता है और कहाँ वह सबसे अधिक एक्सपोज़्ड है. थ्रेट मॉडल्स को संपादित किया जा सकता है ताकि एजेंट आपकी टीम के साथ संरेखित बना रहे.
- समस्याओं को प्राथमिकता दें और सत्यापित करें: थ्रेट मॉडल को कॉन्टेक्स्ट के रूप में उपयोग करते हुए, यह कमजोरियों की खोज करता है और आपके सिस्टम पर उनके संभावित वास्तविक प्रभाव के आधार पर फ़ाइंडिंग्स को वर्गीकृत करता है. जहाँ संभव हो, यह निष्कर्षों को सैंडबॉक्स्ड वैलिडेशन एनवायरनमेंट में परीक्षण करता है ताकि सिग्नल और शोर के बीच अंतर किया जा सके. उपयोगकर्ता इस विश्लेषण को सत्यापित निष्कर्षों में देख सकते हैं. जब Codex Security को आपके प्रोजेक्ट के अनुसार तैयार किए गए एनवायरनमेंट के साथ कॉन्फ़िगर किया जाता है, तो यह संभावित समस्याओं को सीधे चल रहे सिस्टम के कॉन्टेक्स्ट में सत्यापित कर सकता है. यह गहन सत्यापन फ़ॉल्स पॉज़िटिव्स को और कम कर सकता है और कार्यशील प्रूफ-ऑफ-कॉन्सेप्ट बनाने में सक्षम बनाता है, जिससे सिक्योरिटी टीमों को अधिक ठोस प्रमाण और सुधार की स्पष्ट दिशा मिलती है.
- पूरे सिस्टम कॉन्टेक्स्ट के साथ समस्याओं को पैच करें: अंत में, Codex Security खोजी गई समस्याओं के लिए ऐसे समाधान सुझाता है जो सिस्टम के उद्देश्य और आसपास के व्यवहार के साथ मेल खाते हों. इससे ऐसे पैच संभव होते हैं जो सिक्योरिटी को बेहतर बनाते हैं और रिग्रेशन को कम करते हैं, जिससे उन्हें रिव्यू करना और लागू करना अधिक सुरक्षित हो जाता है. उपयोगकर्ता फ़ाइंडिंग्स को फ़िल्टर कर सकते हैं ताकि वे उन मुद्दों पर ध्यान केंद्रित रख सकें जो उनकी टीम के लिए सबसे महत्वपूर्ण हैं और जिनका सिक्योरिटी पर सबसे अधिक प्रभाव पड़ता है.
Codex Security समय के साथ आपके फीडबैक से सीखकर अपनी फ़ाइंडिंग्स की गुणवत्ता को बेहतर बना सकता है. जब आप किसी फ़ाइंडिंग की गंभीरता को समायोजित करते हैं, तो यह उस फीडबैक का उपयोग करके थ्रेट मॉडल को बेहतर बनाता है और आगे के रन में सटीकता बढ़ाता है, क्योंकि यह आपकी आर्किटेक्चर और जोखिम स्थिति में क्या महत्वपूर्ण है, इसे सीखता है.
इसे बड़े पैमाने पर काम करने और उच्च-विश्वसनीयता वाली फ़ाइंडिंग्स को आसानी से स्वीकार किए जा सकने वाले पैच के साथ सामने लाने के लिए डिज़ाइन किया गया है. पिछले 30 दिनों में, Codex Security ने हमारे बीटा समूह की बाहरी रिपॉज़िटरीज़ में 1.2 मिलियन से अधिक कमिट्स स्कैन किए, जिनमें 792 क्रिटिकल फ़ाइंडिंग्स और 10,561 हाई-सीवेरिटी फ़ाइंडिंग्स की पहचान की. स्कैन किए गए कमिट्स में से 0.1% से भी कम में क्रिटिकल समस्याएँ सामने आईं, जो दिखाता है कि यह सिस्टम बड़े कोडबेस में सिक्योरिटी से जुड़ी समस्याओं की पहचान कर सकता है और साथ ही रिव्यूअर्स के लिए शोर को कम रखता है.
“प्रॉडक्ट सिक्योरिटी पर पूरी तरह केंद्रित कंपनी के रूप में, NETGEAR को प्रारंभिक एक्सेस प्रोग्राम में शामिल होकर खुशी हुई, और इसके परिणाम हमारी अपेक्षाओं से भी बेहतर रहे. Codex Security हमारे मजबूत सिक्योरिटी डेवलपमेंट एनवायरनमेंट में आसानी से एकीकृत हो गया, जिससे हमारी समीक्षा प्रक्रियाओं की गति और गहराई दोनों मजबूत हुईं. इसके निष्कर्ष बेहद स्पष्ट और व्यापक थे, और कई बार ऐसा महसूस हुआ मानो कोई अनुभवी प्रॉडक्ट सिक्योरिटी शोधकर्ता हमारे साथ मिलकर काम कर रहा हो.”
ओपन सोर्स सॉफ़्टवेयर आधुनिक सिस्टमों की नींव बनता है, जिनमें हमारे अपने सिस्टम भी शामिल हैं. हम Codex Security का उपयोग उन ओपन सोर्स रिपॉज़िटरीज़ को स्कैन करने के लिए कर रहे हैं जिन पर हम सबसे अधिक निर्भर हैं, और जिन उच्च-प्रभाव वाली सिक्योरिटी फ़ाइंडिंग्स की पहचान करते हैं उन्हें मेंटेनर्स के साथ साझा करते हैं ताकि उस आधार को और मजबूत बनाया जा सके.
मेंटेनर्स के साथ हमारी बातचीत में एक सामान्य बात सामने आई: चुनौती कमजोरियों की रिपोर्ट की कमी नहीं है, बल्कि कम गुणवत्ता वाली रिपोर्टों की अधिकता है. मेंटेनर्स ने बताया कि उन्हें कम फ़ॉल्स पॉज़िटिव्स और वास्तविक सिक्योरिटी समस्याओं को सामने लाने का अधिक टिकाऊ तरीका चाहिए, जिससे अतिरिक्त ट्रायेज बोझ न बढ़े. इन चर्चाओं ने यह तय करने में मदद की कि हम Codex Security के साथ ओपन सोर्स समुदाय का समर्थन कैसे कर रहे हैं. अनुमान आधारित बड़ी मात्रा में फ़ाइंडिंग्स उत्पन्न करने के बजाय, हम ऐसा सिस्टम बना रहे हैं जो उच्च-विश्वसनीयता वाली समस्याओं को प्राथमिकता देता है जिन पर मेंटेनर्स जल्दी कार्रवाई कर सकें.
इस काम के हिस्से के रूप में, हमने कई व्यापक रूप से उपयोग किए जाने वाले ओपन सोर्स प्रोजेक्ट्स में गंभीर कमजोरियों की रिपोर्ट की, जिनमें OpenSSH(एक नई विंडो में खुलेगा), GnuTLS(एक नई विंडो में खुलेगा), GOGS(एक नई विंडो में खुलेगा), Thorium(एक नई विंडो में खुलेगा), libssh, PHP और Chromium सहित अन्य शामिल हैं. चौदह CVE आवंटित किए गए हैं, जिनमें से दो पर ड्यूल रिपोर्टिंग हुई है — हमने कुछ उदाहरण परिशिष्ट में साझा किए हैं.
हमने हाल ही में ओपन सोर्स मेंटेनर्स के एक शुरुआती समूह को Codex for OSS में ऑनबोर्ड करना शुरू किया है, जो हमारे इकोसिस्टम समर्थन कार्यक्रम का हिस्सा है और जिसमें मुफ्त ChatGPT Pro और Plus अकाउंट्स, कोड रिव्यू और Codex Security शामिल हैं. vLLM जैसे प्रोजेक्ट्स ने पहले ही अपने सामान्य वर्कफ़्लो के हिस्से के रूप में समस्याएँ खोजने और पैच करने के लिए Codex Security का उपयोग किया है.
आने वाले हफ्तों में हम इस कार्यक्रम का विस्तार करने की योजना बना रहे हैं ताकि अधिक मेंटेनर्स को बेहतर सिक्योरिटी, मजबूत रिव्यू वर्कफ़्लो और उस ओपन सोर्स कार्य के समर्थन तक सीधी पहुँच मिल सके जिस पर पूरा इकोसिस्टम निर्भर करता है. यदि आप एक ओपन सोर्स मेंटेनर हैं और रुचि रखते हैं, तो कृपया संपर्क करें.
आने वाले दिनों में हम ChatGPT Enterprise, Business और Edu ग्राहकों के लिए Codex Security एक्सेस रोलआउट करेंगे. अपनी टीम के लिए Codex Security सेटअप करने के बारे में अधिक जानने के लिए हमारे डॉक्यूमेंट्स(एक नई विंडो में खुलेगा) देखें.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(एक नई विंडो में खुलेगा)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(एक नई विंडो में खुलेगा)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(एक नई विंडो में खुलेगा)
- 2FA Bypass GOGS — CVE-2025-64175(एक नई विंडो में खुलेगा)
- Unauth bypass GOGS — CVE-2026-25242(एक नई विंडो में खुलेगा)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(एक नई विंडो में खुलेगा)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(एक नई विंडो में खुलेगा)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(एक नई विंडो में खुलेगा) , CVE-2025-35436(एक नई विंडो में खुलेगा)
- Session not rotated on password change — User::update_user — CVE-2025-35433(एक नई विंडो में खुलेगा)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(एक नई विंडो में खुलेगा)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(एक नई विंडो में खुलेगा)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(एक नई विंडो में खुलेगा)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(एक नई विंडो में खुलेगा)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(एक नई विंडो में खुलेगा)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(एक नई विंडो में खुलेगा)
