Danas predstavljamo Codex Security, našeg agenta za sigurnost aplikacija. Gradi dubinski kontekst o vašem projektu kako bi identificirao složene ranjivosti koje drugi agentski alati propuštaju, ističući nalaze s većom razinom pouzdanosti uz ispravke koje smisleno poboljšavaju sigurnost vašeg sustava, a pritom vas pošteđuju „smeća" beznačajnih pogrešaka.
Kontekst je ključan pri procjeni stvarnih sigurnosnih rizika, ali većina alata za sigurnost umjetne inteligencije jednostavno označava nalaze s malim utjecajem i lažno pozitivne rezultate, prisiljavajući sigurnosne timove da troše znatno vrijeme na trijažu. Istodobno agenti ubrzavaju razvoj softvera, zbog čega sigurnosni pregled postaje sve važnije ključno usko grlo.
Codex Security rješava oba izazova. Kombiniranjem agentskog rasuđivanja iz naših naprednih modela s automatiziranom validacijom, pruža nalaze s visokom razinom pouzdanosti i provedive popravke kako bi se timovi mogli usredotočiti na ranjivosti koje su važne i brže isporučiti siguran kod.
Prethodno poznat kao Aardvark, Codex Security je prošle godine započeo kao privatna beta verzija s malom skupinom korisnika. U ranim internim implementacijama otkriven je stvarni SSRF, ključna ranjivost provjere autentičnosti između više tenanata, i mnogi drugi problemi koje je naš sigurnosni tim zakrpao u roku od nekoliko sati. Rana uvođenja s vanjskim testerima pomogla su nam poboljšati način na koji korisnici pružaju relevantan kontekst proizvoda i prelaze s uvođenja na osiguravanje svojeg koda. Također smo tijekom beta razdoblja znatno poboljšali kvalitetu naših nalaza: skeniranja na istim repozitorijima tijekom vremena pokazuju sve veću preciznost, u jednom slučaju smanjujući smeće za 84 % u odnosu na početno uvođenje. Smanjili smo postotak nalaza s precijenjenom razinom ozbiljnosti za više od 90 %, a postoci lažno pozitivnih rezultata u detekcijama pali su za više od 50 % u svim repozitorijima. Ova poboljšanja agentu Codex Security pomažu da bolje uskladi prijavljenu razinu ozbiljnosti sa stvarnim rizikom i smanji nepotrebno opterećenje trijaže za sigurnosne timove, a očekujemo da će se omjer signala i smeća nastaviti poboljšavati uz daljnja ulaganja.
Počevši od danas, uvodimo Codex Security za korisnike plana ChatGPT Enterprise, Business i Edu putem Codex weba uz besplatno korištenje tijekom sljedećeg mjeseca.
Codex Security upotrebljava OpenAI-jeve napredne modele i Codex agenta. Može smanjiti smeće i ubrzati sanaciju utemeljenjem otkrivanja ranjivosti, validacije i krpanja u kontekstu specifičnom za sustav.
- Izgradite kontekst sustava i izradite uređiv model prijetnji: Nakon konfiguriranja skeniranja, analizira vaš repozitorij kako bi razumio sigurnosno relevantnu strukturu sustava i generira model prijetnji specifičan za projekt koji može obuhvatiti što sustav radi, čemu vjeruje i gdje je najizloženiji. Modeli prijetnji mogu se uređivati kako bi agent ostao usklađen s vašim timom.
- Odredite prioritete i validirajte probleme: Upotrebljavajući model prijetnji kao kontekst, pretražuje ranjivosti i kategorizira nalaze na temelju očekivanog stvarnog utjecaja u vašem sustavu. Gdje god je moguće, preispituje nalaze u sandbox okruženjima za validaciju kako bi razlikovao signal od smeća. Korisnici mogu vidjeti ovu analizu u validiranim nalazima. Kada je Codex Security konfiguriran s okruženjem prilagođenim vašem projektu, može provjeriti potencijalne probleme izravno u kontekstu pokrenutog sustava. Ta dublja provjera može još više smanjiti lažno pozitivne rezultate i omogućiti izradu funkcionalne provjere koncepta, pružajući sigurnosnim timovima snažnije dokaze i jasniji put do otklanjanja problema.
- Zakrpajte probleme uz potpuni kontekst sustava: U konačnici, Codex Security predlaže rješenja za otkrivene probleme koja su usklađena s namjenom sustava i okolnim ponašanjem. Ovo omogućuje zakrpe koje mogu poboljšati sigurnost uz istodobno smanjenje regresija, čineći ih sigurnijima za pregled i uvrštavanje. Korisnici mogu filtrirati nalaze kako bi se usredotočili na ono što je najvažnije za njihov tim i ima najveći sigurnosni utjecaj.
Codex Security s vremenom može učiti iz vaših povratnih informacija kako bi poboljšao kvalitetu svojih nalaza. Kada prilagodite ključnost nalaza, može upotrijebiti te povratne informacije za poboljšanje modela prijetnje i preciznosti u sljedećim izvršavanjima dok uči što je važno u vašoj arhitekturi i stanju rizika.
Osmišljen je za rad u velikom opsegu i isticanje nalaza s najvećom razinom pouzdanosti uz zakrpe koje je lako prihvatiti. Tijekom zadnjih 30 dana Codex Security skenirao je više od 1,2 milijuna dodavanja u vanjskim repozitorijima u našoj beta skupini, identificirajući 792 ključna nalaza i 10 561 nalaz visoke ozbiljnosti. Ključni problemi pojavili su se u manje od 0,1 % skeniranih dodavanja, što pokazuje da sustav može prepoznati probleme koji utječu na sigurnost u velikim količinama koda uz minimiziranje smeća za pregledatelje.
„Kao tvrtka usmjerena na sigurnost proizvoda, NETGEAR se rado pridružio programu ranog pristupa, a rezultati su nadmašili očekivanja. Agent Codex Security bez poteškoća se integrirao u naše robusno okruženje za razvoj sigurnosti, povećavajući brzinu i temeljitost naših postupaka pregleda. Njegovi su nalazi bili impresivno jasni i sveobuhvatni, često ostavljajući dojam da iskusni istraživač sigurnosti proizvoda radi zajedno s nama."
Softver otvorenog koda čini temelj modernih sustava, uključujući i naše. Upotrebljavamo Codex Security za skeniranje repozitorija otvorenog koda na koje se najviše oslanjamo te s održavateljima dijelimo sigurnosne nalaze s velikim utjecajem koje identificiramo kako bismo pomogli ojačati tu osnovu.
U našim razgovorima s održavateljima pojavila se dosljedna tema: izazov nije u nedostatku prijava ranjivosti, već u prevelikom broju nekvalitetnih. Održavatelji su nam rekli da im treba manje lažno pozitivnih rezultata i održiviji način za otkrivanje stvarnih sigurnosnih problema bez stvaranja dodatnog opterećenja u trijaži. Ovi razgovori pomogli su oblikovati način na koji podržavamo zajednicu otvorenog koda s agentom Codex Security. Umjesto generiranja velikih količina spekulativnih nalaza, gradimo sustav koji daje prednost problemima s visokom razinom pouzdanosti na koje održavatelji mogu brzo reagirati.
Kao dio ovog rada, prijavili smo ključne ranjivosti brojnih široko korištenih projekata otvorenog koda, uključujući OpenSSH(otvara se u novom prozoru), GnuTLS(otvara se u novom prozoru), GOGS(otvara se u novom prozoru), Thorium(otvara se u novom prozoru) libssh, PHP i Chromium te druge. Dodijeljeno je četrnaest CVE-ova, uz dvostruko prijavljivanje za dva – neke smo primjere podijelili u dodatku.
Nedavno smo započeli uključivanje početne skupine održavatelja otvorenog koda u Codex za OSS, naš program za podršku ekosustavu s besplatnim računima ChatGPT Pro i Plus, pregledom koda i agentom Codex Security. Projekti poput vLLM-a već su koristili Codex Security za pronalaženje i krpanje problema kao dio svojeg uobičajenog radnog tijeka.
U nadolazećim tjednima planiramo proširiti program kako bi više održavatelja imalo izravan put do bolje sigurnosti, snažnijih radnih tijekova pregleda i podršku za rad na otvorenom kodu, o kojem ekosustav ovisi. Ako ste održavatelj otvorenog koda i zainteresirani, molimo vas da nam se javite.
U narednim danima omogućit ćemo pristup za Codex Security korisnicima planova ChatGPT Enterprise, Business i Edu. Pogledajte našu dokumentaciju(otvara se u novom prozoru) kako biste saznali više o postavljanju agenta Codex Security za svoj tim.
- GnuTLS certtool preljev međuspremnika (Heap-Buffer) (Off-by-One) – CVE-2025-32990(otvara se u novom prozoru)
- GnuTLS prekomjerno čitanje međuspremnika (Heap-Buffer) pri parsiranju SCT proširenja – CVE-2025-32989(otvara se u novom prozoru)
- GnuTLS Double-Free u izvozu otherName SAN – CVE-2025-32988(otvara se u novom prozoru)
- 2FA zaobilaženje GOGS-a – CVE-2025-64175(otvara se u novom prozoru)
- Neovlašteno zaobilaženje GOGS-a – CVE-2026-25242(otvara se u novom prozoru)
- Prolazak kroz putanju (proizvoljno pisanje) – download_ephemeral, download_children (agent) – CVE-2025-35430(otvara se u novom prozoru)
- LDAP ubrizgavanje (filtri i DN) – LdapUserMap::new / get_unix_info / basic_auth_ldap – CVE-2025-35431(otvara se u novom prozoru)
- Zlouporaba neautentificiranog DoS-a i e-pošte – resend_email_verification – CVE-2025-35432(otvara se u novom prozoru) , CVE-2025-35436(otvara se u novom prozoru)
- Sesija nije rotirana pri promjeni lozinke – User::update_user – CVE-2025-35433(otvara se u novom prozoru)
- Onemogućena provjera TLS-a – Elasticsearch klijent – CVE-2025-35434(otvara se u novom prozoru)
- DoS: dijeljenje s nulom – /api/streams/depth/.../{split} – CVE-2025-35435(otvara se u novom prozoru)
- gpg-agent preljev međuspremnika (stack) putem PKDECRYPT --kem=CMS (ECC KEM) – CVE-2026-24881(otvara se u novom prozoru)
- Preljev međuspremnika (stacked-based) u TPM2 PKDECRYPT za RSA i ECC zbog nedostajuće validacije duljine šifriranog teksta – CVE-2026-24882(otvara se u novom prozoru)
- CMS/PKCS7 AES-GCM ASN.1 parametri: preljev međuspremnika (stack) – CVE-2025-15467(otvara se u novom prozoru)
- PKCS#12 PBMAC1 PBKDF2 keyLength preljev + zaobilaženje MAC-a – CVE-2025-11187(otvara se u novom prozoru)
