Hari ini kami memperkenalkan Codex Security, agen keamanan aplikasi kami. Agen ini membangun konteks mendalam tentang proyek Anda untuk mengidentifikasi kerentanan kompleks yang terlewatkan oleh alat agentik lainnya, menampilkan temuan dengan tingkat keyakinan lebih tinggi beserta perbaikan yang secara bermakna meningkatkan keamanan sistem Anda sekaligus menghindarkan Anda dari noise bug yang tidak signifikan.
Konteks sangat penting saat mengevaluasi risiko keamanan yang nyata, tetapi sebagian besar alat keamanan AI hanya menandai temuan berdampak rendah dan positif palsu, sehingga memaksa tim keamanan menghabiskan banyak waktu untuk memilah. Pada saat yang sama, agen mempercepat pengembangan perangkat lunak, sehingga peninjauan keamanan menjadi hambatan yang semakin kritis.
Codex Security mengatasi kedua tantangan tersebut. Dengan menggabungkan penalaran agentik dari model terdepan kami dengan validasi otomatis, solusi ini memberikan temuan dengan tingkat keyakinan tinggi dan perbaikan yang dapat ditindaklanjuti sehingga tim dapat berfokus pada kerentanan yang penting dan merilis kode yang aman lebih cepat.
Sebelumnya dikenal sebagai Aardvark, Codex Security dimulai tahun lalu sebagai beta privat dengan grup kecil pelanggan. Dalam penerapan internal awal, alat ini mengungkap SSRF yang nyata, kerentanan autentikasi lintas-tenant yang kritis, dan banyak masalah lainnya yang diatasi oleh tim keamanan kami dalam hitungan jam. Penerapan awal dengan para penguji eksternal membantu kami meningkatkan cara pengguna memberikan konteks produk yang relevan dan beralih dari orientasi ke mengamankan kode mereka. Kami juga secara signifikan meningkatkan kualitas temuan kami selama masa beta: pemindaian pada repositori yang sama dari waktu ke waktu menunjukkan peningkatan presisi, bahkan dalam satu kasus berhasil mengurangi noise hingga 84% sejak peluncuran awal. Kami telah menurunkan tingkat temuan dengan tingkat keparahan yang dilaporkan secara berlebihan lebih dari 90%, dan tingkat positif palsu pada deteksi juga turun lebih dari 50% di seluruh repositori. Peningkatan ini membantu Codex Security menyelaraskan tingkat keparahan yang dilaporkan dengan risiko di dunia nyata dengan lebih baik serta mengurangi beban triase yang tidak perlu bagi tim keamanan, dan kami mengharapkan rasio sinyal terhadap noise akan terus membaik dengan investasi lebih lanjut.
Mulai hari ini, Codex Security diluncurkan untuk pelanggan ChatGPT Enterprise, Business, dan Edu melalui Codex web dengan penggunaan gratis selama satu bulan ke depan.
Codex Security memanfaatkan model terdepan OpenAI dan agen Codex. Alat ini dapat mengurangi noise dan mempercepat proses perbaikan dengan mendasarkan penemuan kerentanan, validasi, dan pembuatan patch pada konteks spesifik sistem.
- Membangun konteks sistem dan membuat model ancaman yang dapat diedit: Setelah mengonfigurasi pemindaian, sistem menganalisis repositori Anda untuk memahami struktur sistem yang relevan dengan keamanan dan menghasilkan model ancaman khusus proyek yang dapat menangkap apa yang dilakukan sistem, apa yang dipercayainya, dan di mana sistem paling terekspos. Model ancaman dapat diedit agar agen tetap selaras dengan tim Anda.
- Prioritaskan dan validasi masalah: Menggunakan model ancaman sebagai konteks, Codex Security mencari kerentanan dan mengategorikan temuan berdasarkan dampak dunia nyata yang diharapkan dalam sistem Anda. Jika memungkinkan, alat ini menguji temuan dalam lingkungan validasi yang disandbox untuk membedakan sinyal dari noise. Pengguna dapat melihat analisis ini dalam temuan yang divalidasi. Saat Codex Security dikonfigurasi dengan lingkungan yang disesuaikan untuk proyek Anda, Codex Security dapat memvalidasi potensi masalah secara langsung dalam konteks sistem yang sedang berjalan. Validasi yang lebih mendalam tersebut dapat semakin mengurangi positif palsu dan memungkinkan pembuatan bukti konsep yang berfungsi, sehingga memberikan tim keamanan bukti yang lebih kuat dan jalur yang lebih jelas menuju remediasi.
- Mengatasi masalah dengan konteks sistem penuh: Terakhir, Codex Security mengusulkan perbaikan untuk masalah yang ditemukan yang selaras dengan maksud sistem dan perilaku di sekitarnya. Alat ini mengaktifkan patch yang dapat meningkatkan keamanan sekaligus meminimalkan regresi, sehingga lebih aman untuk ditinjau dan diintegrasikan. Pengguna dapat memfilter temuan agar mereka tetap fokus pada hal yang paling penting bagi tim mereka dan memiliki dampak keamanan tertinggi.
Codex Security juga dapat belajar dari umpan balik Anda seiring waktu untuk meningkatkan kualitas temuannya. Saat Anda menyesuaikan tingkat kekritisan suatu temuan, alat ini dapat menggunakan umpan balik tersebut untuk menyempurnakan model ancaman dan meningkatkan presisi pada proses berikutnya seiring sistem mempelajari hal-hal yang penting dalam arsitektur dan postur risiko Anda.
Alat ini dirancang untuk beroperasi dalam skala besar dan menampilkan temuan dengan tingkat keyakinan tertinggi dengan patch yang mudah diterima. Selama 30 hari terakhir, Codex Security memindai lebih dari 1,2 juta commit di seluruh repositori eksternal dalam kohort beta kami, mengidentifikasi 792 temuan kritis dan 10.561 temuan dengan tingkat keparahan tinggi. Masalah kritis muncul dalam kurang dari 0,1% commit yang dipindai, menunjukkan bahwa sistem dapat mengidentifikasi masalah yang berdampak pada keamanan dalam volume kode yang besar sambil meminimalkan noise bagi peninjau.
"Sebagai perusahaan yang sangat berfokus pada keamanan produk, NETGEAR dengan senang hati bergabung dengan program akses lebih awal, dan hasilnya melampaui ekspektasi. Codex Security terintegrasi dengan mudah ke dalam lingkungan pengembangan keamanan kami yang tangguh, memperkuat kecepatan dan kedalaman proses peninjauan kami. Temuan-temuannya sangat jelas dan komprehensif, sering kali memberikan kesan bahwa seorang peneliti keamanan produk yang berpengalaman bekerja bersama kami."
Perangkat lunak sumber terbuka menjadi dasar bagi sistem modern, termasuk sistem kami sendiri. Kami telah menggunakan Codex Security untuk memindai repositori sumber terbuka yang paling kami andalkan, membagikan temuan keamanan berdampak tinggi yang kami identifikasi kepada para pemelihara untuk membantu memperkuat fondasi tersebut.
Dalam percakapan kami dengan para pemelihara, muncul tema yang konsisten: tantangannya bukan kurangnya laporan kerentanan, melainkan terlalu banyak laporan berkualitas rendah. Para pemelihara memberi tahu kami bahwa mereka membutuhkan lebih sedikit positif palsu dan cara yang lebih berkelanjutan untuk memunculkan masalah keamanan yang nyata tanpa menambah beban triase. Percakapan-percakapan ini membantu membentuk cara kami mendukung komunitas sumber terbuka dengan Codex Security. Daripada menghasilkan temuan spekulatif dalam jumlah besar, kami sedang membangun sistem yang memprioritaskan masalah dengan tingkat keyakinan tinggi yang dapat segera ditindaklanjuti oleh pengelola.
Sebagai bagian dari pekerjaan ini, kami melaporkan kerentanan kritis ke sejumlah proyek sumber terbuka yang banyak digunakan termasuk OpenSSH(terbuka di jendela baru), GnuTLS(terbuka di jendela baru), GOGS(terbuka di jendela baru), Thorium(terbuka di jendela baru) libssh, PHP, dan Chromium, dan lainnya. Empat belas CVE telah ditetapkan dengan pelaporan ganda pada dua pihak — kami telah membagikan beberapa contoh di Lampiran.
Baru-baru ini, kami mulai mengikutsertakan kelompok awal pemelihara perangkat lunak sumber terbuka ke dalam Codex untuk OSS, program kami untuk mendukung ekosistem dengan akun ChatGPT Pro dan Plus gratis, peninjauan kode, dan Codex Security. Proyek seperti vLLM telah menggunakan Codex Security untuk menemukan dan mengatasi masalah sebagai bagian dari alur kerja normal mereka.
Kami berencana untuk memperluas program ini dalam beberapa minggu mendatang agar lebih banyak pemelihara memiliki jalur langsung menuju keamanan yang lebih baik, alur kerja peninjauan yang lebih kuat, dan dukungan untuk pekerjaan sumber terbuka yang menjadi andalan ekosistem. Jika Anda seorang pemelihara proyek sumber terbuka dan tertarik, silakan hubungi kami.
Kami akan meluncurkan akses Codex Security ke pelanggan ChatGPT Enterprise, Business, dan Edu dalam beberapa hari mendatang. Lihat dokumen kami(terbuka di jendela baru) untuk mempelajari selengkapnya tentang menyiapkan Codex Security untuk tim Anda.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(terbuka di jendela baru)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(terbuka di jendela baru)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(terbuka di jendela baru)
- 2FA Bypass GOGS — CVE-2025-64175(terbuka di jendela baru)
- Unauth bypass GOGS — CVE-2026-25242(terbuka di jendela baru)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(terbuka di jendela baru)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(terbuka di jendela baru)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(terbuka di jendela baru) , CVE-2025-35436(terbuka di jendela baru)
- Session not rotated on password change — User::update_user — CVE-2025-35433(terbuka di jendela baru)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(terbuka di jendela baru)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(terbuka di jendela baru)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(terbuka di jendela baru)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(terbuka di jendela baru)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(terbuka di jendela baru)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(terbuka di jendela baru)
