Codex Security-ը այժմ հասանելի է որպես հետազոտական նախադիտում
Այսօր մենք ներկայացնում ենք Codex Security-ը՝ մեր հավելվածի անվտանգության ագենտը։ Այն ստեղծում է ձեր նախագծի մասին խոր համատեքստ՝ բացահայտելու բարդ խոցելիությունները, որոնք այլ ագենտային գործիքները բաց են թողնում՝ ի հայտ բերելով ավելի բարձր վստահելիության արդյունքներ՝ շտկումներով, որոնք էականորեն բարելավում են ձեր համակարգի անվտանգությունը՝ միաժամանակ ձեզ զերծ պահելով աննշան սխալների աղմուկից։
Համատեքստը կարևոր է իրական անվտանգության ռիսկերը գնահատելիս, բայց ԱԲ անվտանգության գործիքների մեծ մասը պարզապես նշում է ցածր ազդեցությամբ հայտնաբերումներ և կեղծ դրականներ՝ ստիպելով անվտանգության թիմերին զգալի ժամանակ ծախսել տրիաժի վրա։ Միևնույն ժամանակ, ագենտները արագացնում են ծրագրային ապահովման մշակումը՝ անվտանգության վերանայումը դարձնելով ավելի ու ավելի կարևոր խցանում։
Codex Security-ը լուծում է երկու մարտահրավերներն էլ։ Մեր առաջադեմ մոդելներից գործակալական հիմնավորումը ավտոմատացված վավերացման հետ համադրելով՝ այն ապահովում է բարձր վստահության արդյունքներ և գործնական շտկումներ, որպեսզի թիմերը կարողանան կենտրոնանալ կարևոր խոցելիությունների վրա և ավելի արագ թողարկել անվտանգ կոդ։
Նախկինում որպես Aardvarkհայտնի՝ Codex Security-ը անցյալ տարի սկսեց որպես մասնավոր բետա՝ հաճախորդների փոքր խմբի հետ։ Վաղ ներքին տեղակայումների ընթացքում ի հայտ եկավ իրական SSRF, կրիտիկական միջվարձակալային նույնականացման խոցելիություն և բազմաթիվ այլ խնդիրներ, որոնք մեր անվտանգության թիմը շտկեց մի քանի ժամվա ընթացքում. Արտաքին փորձարկողներով իրականացված վաղ տեղակայումները օգնեցին մեզ բարելավել, թե ինչպես են օգտատերերը տրամադրում համապատասխան արտադրանքի համատեքստը և անցնում օնբորդինգից դեպի իրենց կոդի պաշտպանումը։ Մենք նաև զգալիորեն բարելավել ենք մեր արդյունքների որակը բետայի ընթացքում. նույն պահոցների վրա ժամանակի ընթացքում կատարված սկանավորումները ցույց են տալիս աճող ճշգրտություն, իսկ մեկ դեպքում՝ սկզբնական թողարկումից ի վեր աղմուկը կրճատելով 84%-ով։ Մենք ավելի քան 90%-ով նվազեցրել ենք չափազանց բարձր զեկուցված խստությամբ հայտնաբերումների մակարդակը, և հայտնաբերումների կեղծ դրական ցուցանիշները նվազել են ավելի քան 50%-ով՝ բոլոր պահոցներում։ Այս բարելավումները օգնում են Codex Security-ին ավելի լավ համապատասխանեցնել հաղորդված ծանրության աստիճանը իրական աշխարհի ռիսկին և նվազեցնել անվտանգության թիմերի համար ավելորդ տրիաժի բեռը, և մենք ակնկալում ենք, որ ազդանշան-աղմուկ հարաբերակցությունը կշարունակի բարելավվել հետագա ներդրումների շնորհիվ։
Այսօրվանից Codex Security-ը սկսում է հասանելի դառնալ ChatGPT Enterprise, Business և Edu հաճախորդներին՝ Codex web-ի միջոցով, հաջորդ ամսվա ընթացքում անվճար օգտագործմամբ։
Codex Security-ն օգտագործում է OpenAI-ի առաջադեմ մոդելները և Codex ագենտը։ Այն կարող է նվազեցնել աղմուկը և արագացնել վերացումը՝ համակարգին հատուկ համատեքստում հիմնավորելով խոցելիությունների հայտնաբերումը, վավերացումը և շտկումը։
- Կառուցել համակարգի համատեքստը և ստեղծել խմբագրելի սպառնալիքների մոդել: Սկանավորումը կարգավորելուց հետո այն վերլուծում է ձեր պահոցը՝ հասկանալու համակարգի անվտանգության տեսանկյունից կարևոր կառուցվածքը և ստեղծում է նախագծին հատուկ սպառնալիքների մոդել, որը կարող է արտացոլել, թե ինչ է անում համակարգը, ինչին է այն վստահում և որտեղ է այն առավել խոցելի։ Սպառնալիքների մոդելները կարող են խմբագրվել՝ ագենտը ձեր թիմի հետ համահունչ պահելու համար։
- Խնդիրներին առաջնահերթություն տվեք և վավերացրեք դրանք։ Սպառնալիքների մոդելը որպես համատեքստ օգտագործելով՝ այն որոնում է խոցելիություններ և դասակարգում է հայտնաբերումները՝ հիմնվելով ձեր համակարգում իրական աշխարհում սպասվող ազդեցության վրա։ Հնարավորության դեպքում այն փորձարկում է արդյունքները պաշտպանված վավերացման միջավայրերում՝ ազդանշանը աղմուկից տարբերակելու համար։ Օգտատերերը կարող են տեսնել այս վերլուծությունը վավերացված արդյունքներում։ Երբ Codex Security-ը կազմաձևված է ձեր նախագծին համապատասխանեցված միջավայրով, այն կարող է վավերացնել հնարավոր խնդիրները անմիջապես գործարկվող համակարգի համատեքստում։ Այդ ավելի խորը վավերացումը կարող է էլ ավելի նվազեցնել սխալ դրականները և հնարավորություն տալ ստեղծել աշխատող «հայեցակարգի ապացույցներ»՝ անվտանգության թիմերին տալով ավելի ուժեղ ապացույցներ և վերականգնման ավելի հստակ ուղի։
- Լիարժեք համակարգային համատեքստով խնդիրների պատչինգ. վերջապես, Codex Security-ն առաջարկում է հայտնաբերված խնդիրների շտկումներ, որոնք համահունչ են համակարգի նպատակին և շրջապատող վարքագծին։ Դա հնարավորություն է տալիս կիրառել փաթչեր, որոնք կարող են բարելավել անվտանգությունը՝ միաժամանակ նվազեցնելով ռեգրեսիաները, ինչը դրանք դարձնում է ավելի անվտանգ՝ վերանայելու և հիմնական ճյուղում ընդունելու համար։ Օգտատերերը կարող են զտել հայտնաբերումները, որպեսզի կենտրոնանան իրենց թիմի համար ամենակարևորի վրա և այն ամենի վրա, որն ունի անվտանգության ամենաբարձր ազդեցությունը։
Codex Security-ը նաև կարող է ժամանակի ընթացքում սովորել ձեր հետադարձ կապից՝ իր հայտնաբերումների որակը բարելավելու համար։ Երբ դուք կարգավորում եք հայտնաբերման կրիտիկականությունը, այն կարող է օգտագործել այդ հետադարձ կապը՝ սպառնալիքների մոդելը կատարելագործելու և հաջորդ գործարկումներում ճշգրտությունը բարելավելու համար, քանի որ սովորում է, թե ինչն է կարևոր ձեր ճարտարապետության և ռիսկային դիրքավորման մեջ։
Այն նախագծված է մասշտաբով գործելու և ամենաբարձր վստահության գտածոները ներկայացնելու համար՝ հեշտ ընդունվող պատչերով։ Վերջին 30 օրվա ընթացքում Codex Security-ը սկանավորել է ավելի քան 1.2 միլիոն հաստատում մեր բետա խմբի արտաքին պահոցներում՝ հայտնաբերելով 792 կրիտիկական հայտնաբերում և 10,561 բարձր ծանրության հայտնաբերում։ Կրիտիկական խնդիրներ հայտնվեցին սկանավորված հաստատումների 0.1%-ից պակասում, ինչը ցույց է տալիս, որ համակարգը կարող է մեծ ծավալի կոդում բացահայտել անվտանգության վրա ազդող խնդիրներ՝ միաժամանակ նվազագույնի հասցնելով վերանայողների համար աղմուկը։
«Որպես արտադրանքի անվտանգության վրա լազերային կենտրոնացած ընկերություն՝ NETGEAR-ը ուրախ էր միանալ վաղաժամ հասանելիության ծրագրին, և արդյունքները գերազանցեցին սպասելիքները։ Codex Security-ը անխափան ինտեգրվեց մեր ամուր անվտանգության մշակման միջավայրին՝ ուժեղացնելով մեր վերանայման գործընթացների տեմպն ու խորությունը։ Դրա արդյունքները տպավորիչ կերպով հստակ և համապարփակ էին՝ հաճախ ստեղծելով այն տպավորությունը, թե փորձառու պրոդուկտի անվտանգության հետազոտողը մեզ հետ կողք կողքի էր աշխատում»:
Բաց կոդով ծրագրային ապահովումը կազմում է ժամանակակից համակարգերի հիմքը, այդ թվում՝ մեր սեփականի։ Մենք օգտագործում ենք Codex Security-ը՝ սկանավորելու այն բաց կոդով պահոցները, որոնց վրա ամենաշատն ենք հենվում, և մեր հայտնաբերած բարձր ազդեցություն ունեցող անվտանգության բացահայտումները կիսում ենք պատասխանատուների հետ՝ օգնելու ամրապնդել այդ հիմքը։
Մեր զրույցներում սպասարկողների հետ մի հետևողական թեմա ի հայտ եկավ. խնդիրը խոցելիությունների մասին հաղորդումների պակասը չէ, այլ չափազանց շատ ցածրորակ հաղորդումները։ Սպասարկողները մեզ ասացին, որ իրենց պետք է ավելի քիչ կեղծ դրականներ և ավելի կայուն միջոց՝ իրական անվտանգության խնդիրները հայտնաբերելու համար՝ առանց լրացուցիչ տրիաժի բեռ ստեղծելու։ Այս զրույցները օգնեցին ձևավորել, թե ինչպես ենք Codex Security-ի միջոցով աջակցում բաց կոդով համայնքին։ Մեծ ծավալի ենթադրական արդյունքներ գեներացնելու փոխարեն մենք կառուցում ենք համակարգ, որը առաջնահերթություն է տալիս բարձր վստահությամբ խնդիրներին, որոնց վրա սպասարկողները կարող են արագ գործել։
Այս աշխատանքի շրջանակում մենք հաղորդեցինք կարևոր խոցելիությունների մասին լայնորեն օգտագործվող մի շարք բաց կոդով նախագծերի, այդ թվում՝ OpenSSH(բացվում է նոր պատուհանում), GnuTLS(բացվում է նոր պատուհանում), GOGS(բացվում է նոր պատուհանում), Thorium(բացվում է նոր պատուհանում) libssh, PHP և Chromium և այլն։ Տասնչորս CVE է նշանակվել՝ երկակի հաղորդմամբ երկուսի վերաբերյալ — մենք կիսվել ենք որոշ օրինակներով Հավելվածում։
Վերջերս սկսեցինք Codex for OSS-ում ներգրավել բաց կոդով նախագծերի սպասարկողների սկզբնական խմբաքանակը՝ մեր ծրագիրը, որը աջակցում է էկոհամակարգին՝ անվճար ChatGPT Pro և Plus հաշիվներով, կոդի վերանայումով և Codex Security-ով։ vLLM-ի նման նախագծերն արդեն օգտագործել են Codex Անվտանգություն-ը՝ խնդիրներ հայտնաբերելու և պատչելու համար՝ որպես իրենց սովորական աշխատանքային հոսքի մաս։
Մենք նախատեսում ենք առաջիկա շաբաթների ընթացքում ընդլայնել ծրագիրը, որպեսզի ավելի շատ սպասարկողներ ունենան ուղիղ ճանապարհ դեպի ավելի լավ անվտանգություն, ավելի ամուր վերանայման աշխատանքային հոսքեր և աջակցություն բաց կոդով աշխատանքին, որից կախված է էկոհամակարգը։ Եթե դուք բաց կոդով նախագծի պահպանող եք և հետաքրքրված եք, խնդրում ենք կապ հաստատել։
Մենք առաջիկա օրերին կսկսենք տրամադրել Codex Security-ի հասանելիությունը ChatGPT Enterprise, Business և Edu հաճախորդներին։ Ավելին իմանալու համար, թե ինչպես կարգավորել ձեր թիմի համար Codex Security-ը, ծանոթացեք մեր փաստաթղթերին(բացվում է նոր պատուհանում) ։
- GnuTLS certtool բուֆերի գերլցում (մեկ առ մեկ անջատված) — CVE-2025-32990(բացվում է նոր պատուհանում)
- GnuTLS կույտային բուֆերի վերընթերցում՝ SCT ընդլայնման վերլուծման ընթացքում — CVE-2025-32989(բացվում է նոր պատուհանում)
- GnuTLS-ի Double-Free խոցելիություն otherName SAN արտահանման մեջ — CVE-2025-32988(բացվում է նոր պատուհանում)
- 2FA-ի շրջանցում GOGS — CVE-2025-64175(բացվում է նոր պատուհանում)
- Չհաստատված մուտքի շրջանցում GOGS-ում — CVE-2026-25242(բացվում է նոր պատուհանում)
- Ուղու շրջանցում (կամայական գրառում) — download_ephemeral, download_children (ագենտ) — CVE-2025-35430(բացվում է նոր պատուհանում)
- LDAP ներարկում (ֆիլտրեր & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(բացվում է նոր պատուհանում)
- Չհաստատված DoS-ի և փոստի չարաշահում — resend_email_verification — CVE-2025-35432(բացվում է նոր պատուհանում) , CVE-2025-35436(բացվում է նոր պատուհանում)
- Գաղտնաբառի փոփոխության դեպքում սեսիան չի ռոտացվել — User::update_user — CVE-2025-35433(բացվում է նոր պատուհանում)
- Անջատված TLS ստուգում — Elasticsearch հաճախորդ — CVE-2025-35434(բացվում է նոր պատուհանում)
- DoS՝ զրոյի բաժանում — /api/streams/depth/.../{split} — CVE-2025-35435(բացվում է նոր պատուհանում)
- gpg-ագենտի ստեկի բուֆերի գերլցում՝ PKDECRYPT --kem=CMS (ECC KEM)-ի միջոցով — CVE-2026-24881(բացվում է նոր պատուհանում)
- TPM2 PKDECRYPT-ում RSA-ի և ECC-ի համար ստեկի վրա հիմնված բուֆերի գերլցում՝ գաղտնագրատեքստի երկարության վավերացման բացակայության պատճառով — CVE-2026-24882(բացվում է նոր պատուհանում)
- CMS/PKCS7 AES-GCM ASN.1 պարամետրերի ստեկի բուֆերի գերլցում — CVE-2025-15467(բացվում է նոր պատուհանում)
- PKCS#12 PBMAC1 PBKDF2 keyLength արտահոսք + MAC շրջանցում — CVE-2025-11187(բացվում է նոր պատուհանում)
