Codex Security er nú fáanlegt sem rannsóknarforskoðun
Í dag kynnum við Codex Security, fulltrúa okkar fyrir öryggi forrita. Það byggir upp djúpt samhengi um verkefnið þitt til að greina flókna veikleika sem önnur fulltrúamiðuð verkfæri missa af og dregur fram niðurstöður með meiri vissu ásamt lagfæringum sem bæta öryggi kerfisins þíns á raunverulegan hátt, á sama tíma og þú sleppur við hávaðann af óverulegum villum.
Samhengi er nauðsynlegt þegar raunveruleg öryggisáhætta er metin, en flest öryggisverkfæri fyrir gervigreind flagga einfaldlega niðurstöðum með lítil áhrif og fölskum jákvæðum, sem neyðir öryggisteymi til að verja verulegum tíma í forgangsröðun og flokkun. Á sama tíma eru fulltrúar að flýta fyrir hugbúnaðarþróun, sem gerir öryggisyfirferð að sífellt mikilvægari flöskuhálsi.
Codex Security leysir báðar áskoranirnar. Með því að sameina rök frá framarlegum líkönum okkar við sjálfvirka staðfestingu skilar það niðurstöðum með miklu öryggi og framkvæmanlegum lagfæringum svo teymi geti einbeitt sér að veikleikum sem skipta máli og sent öruggan kóða hraðar.
Codex Security gekk áður undir nafninu Aardvark og hófst á síðasta ári sem einkabeta með litlum hópi viðskiptavina. Í fyrstu innri innleiðingum kom í ljós raunverulegt SSRF, alvarlegur veikleiki í auðkenningu þvert á leigjendur og mörg önnur atriði sem öryggisteymi okkar bætti innan nokkurra klukkustunda. Snemmbúnar innleiðingar með utanaðkomandi prófunaraðilum hjálpuðu okkur að bæta hvernig notendur veita viðeigandi vörusamhengi og fara frá innleiðingu yfir í að tryggja kóðann sinn. Við bættum einnig gæði niðurstaðna okkar verulega á meðan á beta-útgáfunni: skannanir á sömu geymslum með tímanum sýna aukna nákvæmni og í einu tilviki minnkaði hávaði um 84% frá fyrstu útgáfu. Við höfum dregið úr tíðni niðurstaðna með ofmetnum alvarleika um meira en 90% og tíðni falskra jákvæðra í greiningum hefur lækkað um meira en 50% yfir allar geymslur. Þessar umbætur hjálpa Codex Security að samræma betur tilkynnt alvarleikastig við raunverulega áhættu og draga úr óþarfa forgangsröðunarálagi fyrir öryggisteymi. Við búumst við að hlutfall merkis og hávaða haldi áfram að batna með frekari fjárfestingu.
Í dag er Codex Security að innleiðast fyrir ChatGPT Enterprise-, Business- og Edu-viðskiptavini í gegnum Codex-vefinn með ókeypis notkun næsta mánuðinn.
Codex Security nýtir framarleg líkön OpenAI og Codex-fulltrúann. Það getur dregið úr hávaða og flýtt fyrir úrbótum með því að gera uppgötvun, sannprófun og lagfæringar á veikleikum sem eru raunveruleikabundin í kerfissértæku samhengi.
- Byggja upp samhengi kerfisins og búa til breytanlegt ógnarlíkan: Eftir að skönnun hefur verið stillt greinir það geymsluna þína til að skilja öryggistengda uppbyggingu kerfisins og býr til verkefnissértækt ógnarlíkan sem getur fangað hvað kerfið gerir, hverju það treystir og hvar það er berskjaldaðast. Hægt er að breyta ógnarlíkönum til að halda fulltrúanum samræmdum við teymið þitt.
- Forgangsraða og staðfesta vandamál: Með ógnarlíkanið sem samhengi leitar það að veikleikum og flokkar niðurstöður út frá væntanlegum raunverulegum áhrifum í kerfinu þínu. Þegar mögulegt er, prófar það niðurstöður undir álagi í einangruðum sandkassaumhverfum til staðfestingar til að greina merki frá hávaða. Notendur geta séð þessa greiningu í staðfestum niðurstöðum. Þegar Codex Security er stillt með umhverfi sem er sniðið að verkefninu þínu getur það staðfest möguleg vandamál beint í samhengi við kerfið sem er í gangi. Þessi dýpri staðfesting getur dregið enn frekar úr fölskum jákvæðum niðurstöðum og gert kleift að búa til virkar sannanir á hugmynd, sem veitir öryggisteymum sterkari sönnunargögn og skýrari leið að úrbótum.
- Bætur á vandamálum með fullu kerfissamhengi: Að lokum leggur Codex Security til bætur á vandamálunum sem fundust sem samræmast tilgangi kerfisins og hegðun í kring. Þetta gerir kleift að nota bætur sem geta bætt öryggi á meðan aðhvarf er lágmarkað, sem gerir þær öruggari til yfirferðar og innleiðingar. Notendur geta síað niðurstöðurnar svo þeir haldi einbeitingu á því sem skiptir mestu máli fyrir teymið þeirra og hefur mest áhrif á öryggi.
Codex Security getur einnig lært af endurgjöf þinni með tímanum til að bæta gæði niðurstaðna sinna. Þegar þú stillir mikilvægi niðurstöðu getur það notað þá endurgjöf til að betrumbæta ógnarlíkanið og bæta nákvæmni í síðari keyrslum eftir því sem það lærir hvað skiptir máli í arkitektúrnum þínum og áhættustöðu.
Það er hannað til að henta rekstrinum og draga fram niðurstöður með mesta öryggi með bótum sem auðvelt er að samþykkja. Undanfarna 30 daga skannaði Codex Security meira en 1.2 milljónir breytinga yfir ytri geymslur í beta-hópi okkar og greindi 792 alvarlegar niðurstöður og 10,561 niðurstöður með miklum alvarleika. Mikilvæg vandamál komu fram í innan við 0.1% af skönnuðum breytingum, sem sýnir að kerfið getur borið kennsl á vandamál sem hafa áhrif á öryggi í miklu magni af kóða á sama tíma og það lágmarkar suð fyrir yfirferðaraðila.
„Sem fyrirtæki sem leggur ofuráherslu á vöruöryggi var NETGEAR ánægt með að taka þátt snemma í aðgangsáætluninni, og niðurstöðurnar fóru fram úr væntingum. Codex Security samþættist áreynslulaust inn í öflugt öryggisþróunarumhverfi okkar og styrkti hraða og dýpt yfirferðarferla okkar. Niðurstöður þess voru ótrúlega skýrar og yfirgripsmiklar og gáfu oft tilfinningu fyrir því að reyndur rannsakandi á sviði vöruöryggis væri að vinna með okkur."
Opinn hugbúnaður er grundvöllur nútímakerfa, þar á meðal okkar eigin. Við höfum verið að nota Codex Security til að skanna opnar geymslur sem við reiðum okkur mest á, og deila öryggisniðurstöðum með miklum áhrifum sem við finnum með umsjónaraðilum til að hjálpa til við að styrkja þann grunn.
Í samtölum okkar við umsjónaraðila kom fram endurtekið þema: áskorunin er ekki skortur á tilkynningum um veikleika, heldur of margar lággæða tilkynningar. Umsjónaraðilar sögðu okkur að þeir þyrftu færri falskar jákvæðar niðurstöður og sjálfbærari leið til að draga fram raunveruleg öryggisvandamál án þess að skapa aukið álag við forgangsröðun. Þessi samtöl hjálpuðu til við að móta hvernig við styðjum opna hugbúnaðarsamfélagið með Codex Security. Í stað þess að búa til mikið magn af getgátukenndum niðurstöðum erum við að byggja kerfi sem forgangsraðar vandamálum með mikla vissu sem umsjónaraðilar geta brugðist fljótt við.
Sem hluta af þessari vinnu tilkynntum við um alvarlega veikleika til fjölda víða notaðra opins hugbúnaðarverkefna, þar á meðal OpenSSH(opnast í nýjum glugga), GnuTLS(opnast í nýjum glugga), GOGS(opnast í nýjum glugga), Thorium(opnast í nýjum glugga) libssh, PHP og Chromium, og fleira. Fjórtán CVE hafa verið úthlutað, með tvöfaldri tilkynningu um tvö — við höfum deilt nokkrum dæmum í viðaukanum.
Við hófum nýlega innleiðingu á fyrsta hópi umsjónaraðila opins hugbúnaðar inn í Codex fyrir OSS, áætlunina okkar til að styðja vistkerfið með ókeypis ChatGPT Pro- og ChatGPT Plus-reikningum, kóðayfirferð og Codex Security. Verkefni eins og vLLM hafa þegar notað Codex Security til að finna og bæta vandamál sem hluta af venjulegu verkflæði sínu.
Við ætlum að stækka áætlunina á næstu vikum svo fleiri umsjónaraðilar hafi beinan aðgang að betra öryggi, öflugri yfirferðarferlum og stuðningi við opinn hugbúnað sem vistkerfið treystir á. Ef þú ert umsjónaraðili opins hugbúnaðar og hefur áhuga skaltu hafa samband.
Við munum innleiða Codex Security-aðgang fyrir ChatGPT Enterprise-, Business- og Edu-viðskiptavini á næstu dögum. Skoðaðu skjölin okkar(opnast í nýjum glugga) til að læra meira um að setja upp Codex Security fyrir teymið þitt.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(opnast í nýjum glugga)
- GnuTLS Heap Buffer Overread í SCT Extension Parsing — CVE-2025-32989(opnast í nýjum glugga)
- GnuTLS Double-Free í otherName SAN Export — CVE-2025-32988(opnast í nýjum glugga)
- 2FA Bypass GOGS — CVE-2025-64175(opnast í nýjum glugga)
- Unauth bypass GOGS — CVE-2026-25242(opnast í nýjum glugga)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(opnast í nýjum glugga)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(opnast í nýjum glugga)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(opnast í nýjum glugga) , CVE-2025-35436(opnast í nýjum glugga)
- Session not rotated on password change — User::update_user — CVE-2025-35433(opnast í nýjum glugga)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(opnast í nýjum glugga)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(opnast í nýjum glugga)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(opnast í nýjum glugga)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(opnast í nýjum glugga)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(opnast í nýjum glugga)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(opnast í nýjum glugga)
