A Codex Security most kutatási előnézetként érhető el
Ma bemutatjuk a Codex Security alkalmazásbiztonsági ügynökünket. Mélyebb kontextust alakít ki a projekted működésére, hogy felismerje azokat az összetett sérülékenységeket is, amelyeket más ügynökalapú eszközök gyakran figyelmen kívül hagynak. Így nagyobb megbízhatóságú találatokat ad, és olyan javításokat javasol, amelyek érdemben növelik a rendszered biztonságát, miközben nem terhel felesleges, jelentéktelen hibákkal.
A kontextus elengedhetetlen a valós biztonsági kockázatok értékeléséhez, de a legtöbb AI-biztonsági eszköz csupán alacsony hatású megállapításokat és téves riasztásokat jelöl meg, így a biztonsági csapatoknak jelentős időt kell triázsra fordítaniuk. Ugyanakkor az ügynökök fel is gyorsítják a szoftverfejlesztést, így a biztonsági felülvizsgálat egyre kritikusabb szűk keresztmetszetté válik.
A Codex Security mindkét kihívást kezeli. Élvonalbeli modelljeink ügynökalapú következtetési képességeit automatizált ellenőrzéssel ötvözve nagy megbízhatóságú eredményeket és azonnal alkalmazható javítási javaslatokat ad. Így a csapatok a valóban fontos sérülékenységekre tudnak koncentrálni, és gyorsabban tudnak biztonságos kódot kiadni.
A korábban Aardvark néven ismert Codex Security tavaly kezdte meg működését privát bétaként, ügyfelek egy kis csoportjával. A korai belső bevezetések során egy valódi SSRF sebezhetőséget, egy kritikus, több bérlőt érintő hitelesítési sérülékenységet, valamint számos más problémát is feltárt, amelyeket a biztonsági csapatunk néhány órán belül kijavított. A külső tesztelőkkel végzett korai bevezetések segítettek javítani azon, hogyan tudják a felhasználók megadni a releváns termékkontextust, és hogyan tudnak az első beállításoktól gyorsan eljutni a kódjuk tényleges biztonságossá tételéig. A bétatesztelés során jelentősen javítottuk a megállapításaink minőségét is: az egyazon adattárakon idővel végzett vizsgálatok egyre növekvő pontosságot mutatnak, egy esetben pedig a kezdeti bevezetés óta 84%-kal csökkentettük a zajt. Több mint 90%-kal csökkentettük a túlzottan súlyosnak jelölt megállapítások arányát, és a hamis pozitív riasztások aránya is több mint 50%-kal esett vissza az összes adattárban. Ezek a fejlesztések segítenek a Codex Security-nek jobban összhangba hozni a jelentett súlyosságot a valós kockázattal, csökkenteni a biztonsági csapatokra nehezedő szükségtelen triázs terhét, és arra számítunk, hogy a jel–zaj arány további befektetésekkel tovább javul.
A mai nappal megkezdődik a Codex Security bevezetése a ChatGPT Enterprise, Business és Edu ügyfelek számára a Codex weben keresztül, és használata a következő hónapban ingyenes.
A Codex Security az OpenAI élvonalbeli modelljeit és a Codex-ügynököt használja. Csökkentheti a zajt és felgyorsíthatja a hibák kijavítását azáltal, hogy a sebezhetőségek felfedezését, validálását és javítását rendszer-specifikus kontextusban történő lehorgonyzásával végzi.
- Rendszerkontextus felépítése és szerkeszthető fenyegetésmodell létrehozása: Miután beállítod a vizsgálatot, elemzi az adattárat, hogy megértse a rendszer biztonsági szempontból releváns felépítését, majd létrehoz egy projektre szabott fenyegetési modellt. Ez képes leírni, mit csinál a rendszer, milyen elemekben bízik, és hol a leginkább sebezhető. A fenyegetési modellek szerkeszthetők, hogy az ügynök összhangban maradjon a csapatoddal.
- Problémák rangsorolása és validálása: A fenyegetési modellt kontextusként használva sérülékenységek után kutat, majd a talált problémákat a rendszerben várható valós hatásuk alapján kategorizálja. Ahol lehetséges, elkülönített, sandboxolt érvényesítési környezetekben próbára teszi a megállapításokat, hogy elkülönítse a valódi jelet a zajtól. A felhasználók ezt az elemzést az ellenőrzött megállapításokban láthatják. Amikor a Codex Security a projektedhez igazított környezetre lett konfigurálva, képes a lehetséges problémákat közvetlenül a futó rendszer kontextusában érvényesíteni. Ez a mélyebb validálás még tovább csökkentheti a téves pozitív találatok számát, és lehetővé teszi működő koncepcióbizonyítékok létrehozását, erősebb bizonyítékot és egyértelműbb utat adva a biztonsági csapatoknak a hibák javításához.
- Problémák javítása teljes rendszerkontextussal: Végül a Codex Security a feltárt problémákhoz olyan javításokat javasol, amelyek összhangban állnak a rendszer szándékával és a környező viselkedéssel. Ez lehetővé teszi olyan javítások készítését, amelyek növelik a biztonságot, miközben minimalizálják a visszalépések kockázatát, így biztonságosabban lehet őket átnézni és alkalmazni. A felhasználók szűrhetik a megállapításokat, hogy továbbra is arra összpontosíthassanak, ami a legfontosabb a csapatuk számára, és ami a legnagyobb biztonsági hatással bír.
A Codex Security idővel a visszajelzéseidből is tanulhat, hogy javítsa a megállapításai minőségét. Ha módosítod egy megállapítás kritikus szintjét, a rendszer ezt a visszajelzést felhasználva finomíthatja a fenyegetési modellt, és a következő futtatások során pontosabb eredményeket ad, miközben megtanulja, mi a fontos a te architektúrádban és kockázati helyzetedben.
Úgy tervezték, hogy alkalmas legyen nagyszabású működésre, és a legnagyobb megbízhatóságú megállapításokat könnyen elfogadható javításokkal tárja fel. „Az elmúlt 30 napban a Codex Security több mint 1,2 millió commitot vizsgált meg a béta csoportunk külső adattárában, 792 kritikus és 10 561 magas súlyosságú megállapítást azonosítva. Kritikus problémák a beolvasott commitok kevesebb mint 0,1%-ában jelentek meg, ami azt mutatja, hogy a rendszer nagy mennyiségű kódban is képes azonosítani a biztonságra hatással lévő problémákat, miközben minimalizálja az ellenőrzők számára jelentkező zajt.
„Termékbiztonságra kiemelten fókuszáló vállalatként a NETGEAR örömmel csatlakozott a korai hozzáférési programhoz, és az eredmények felülmúlták a várakozásokat. A Codex Security zökkenőmentesen integrálódott erős biztonsági fejlesztési környezetünkbe, és tovább erősítette az ellenőrzési folyamataink tempóját és mélységét. A megállapításai rendkívül egyértelműek és átfogóak voltak, gyakran azt az érzést keltették, mintha egy tapasztalt termékbiztonsági kutató dolgozna velünk együtt.”
A nyílt forráskódú szoftver a modern rendszerek alapját képezi, beleértve a sajátunkat is. A Codex Security-t használjuk arra, hogy átvizsgáljuk a legfontosabb, általunk használt nyílt forráskódú adattárakat, és a nagy hatású biztonsági megállapításokat megosztjuk a karbantartókkal, hogy segítsük ezeknek az alapoknak a megerősítését.
A karbantartókkal folytatott beszélgetéseink során körvonalazódott egy visszatérő téma: a kihívást nem a sebezhetőségi jelentések hiánya jelenti, hanem a túl sok alacsony minőségű jelentés. A karbantartók azt mondták, hogy kevesebb hamis pozitív találatra és egy fenntarthatóbb módszerre van szükségük a valódi biztonsági problémák felszínre hozásához anélkül, hogy további triázs terhet okozna. Ezek a beszélgetések segítségünkre voltak abban, miként támogassuk a nyílt forráskódú közösséget a Codex Security-vel. A nagy mennyiségű, spekulatív megállapítások generálása helyett egy olyan rendszert építünk, amely a magas megbízhatóságú problémáknak ad prioritást, amelyekre a karbantartók gyorsan tudnak reagálni.
Ennek a munkának a részeként kritikus sebezhetőségeket jelentettünk számos széles körben használt nyílt forráskódú projektnek, többek között a(z) OpenSSH(új ablakban nyílik meg), GnuTLS(új ablakban nyílik meg), GOGS(új ablakban nyílik meg), Thorium(új ablakban nyílik meg) libssh, PHP és Chromium projekteknek, és még sok másnak. Tizennégy CVE-t rendeltek hozzá, kettőnél kettős bejelentés történt — néhány példát megosztottunk a Függelékben.
Nemrég elkezdtük az első nyílt forráskódú karbantartói csoport bevonását a Codex for OSS programba, amely ingyenes ChatGPT Pro és Plus fiókokkal, kódáttekintéssel és a Codex Security eszközzel támogatja az ökoszisztémát. Az olyan projektek, mint a vLLM, már használják a Codex Biztonságot problémák felderítésére és javítására a szokásos munkafolyamatuk részeként.
A következő hetekre a program bővítését tervezzük, hogy több karbantartó számára nyíljon meg a közvetlen út a jobb biztonsághoz, a hatékonyabb ellenőrzési munkafolyamatokhoz, valamint az ökoszisztéma által igényelt nyílt forráskódú munka támogatásához. Ha nyílt forráskódú karbantartó vagy, és érdekel, kérjük, vedd fel velünk a kapcsolatot.
A következő napokban fokozatosan elérhetővé tesszük a Codex Security hozzáférést a ChatGPT Enterprise, Business és Edu ügyfelei számára. Check out our docs(új ablakban nyílik meg) to learn more about setting up Codex Security for your team.
- GnuTLS certtool halom-puffer túlcsordulás (Off-by-One) — CVE-2025-32990(új ablakban nyílik meg)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(új ablakban nyílik meg)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(új ablakban nyílik meg)
- 2FA Bypass GOGS — CVE-2025-64175(új ablakban nyílik meg)
- Unauth bypass GOGS — CVE-2026-25242(új ablakban nyílik meg)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(új ablakban nyílik meg)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(új ablakban nyílik meg)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(új ablakban nyílik meg) , CVE-2025-35436(új ablakban nyílik meg)
- Session not rotated on password change — User::update_user — CVE-2025-35433(új ablakban nyílik meg)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(új ablakban nyílik meg)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(új ablakban nyílik meg)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(új ablakban nyílik meg)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(új ablakban nyílik meg)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(új ablakban nyílik meg)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(új ablakban nyílik meg)
