Oggi presentiamo Codex Security, il nostro agente per la sicurezza delle applicazioni. Costruisce un contesto approfondito sul tuo progetto per individuare vulnerabilità complesse che altri strumenti agentici non rilevano, evidenziando risultati ad alta affidabilità insieme a correzioni che migliorano concretamente la sicurezza del sistema, riducendo al contempo il rumore dei bug irrilevanti.
Il contesto è essenziale per valutare i rischi reali per la sicurezza, ma la maggior parte degli strumenti di sicurezza basati su IA si limita a segnalare risultati a basso impatto e falsi positivi, costringendo i team di sicurezza a dedicare molto tempo al triage. Allo stesso tempo, gli agenti stanno accelerando lo sviluppo software, rendendo la revisione della sicurezza un collo di bottiglia sempre più critico.
Codex Security affronta entrambe le sfide. Combinando il ragionamento agentico dei nostri modelli di IA avanzata con la convalida automatizzata, offre risultati ad alta affidabilità e correzioni attuabili, consentendo ai team di concentrarsi sulle vulnerabilità più importanti e rilasciare codice sicuro più rapidamente.
Precedentemente noto come Aardvark, Codex Security è stato lanciato lo scorso anno come beta privata con un piccolo gruppo di clienti. Nelle prime implementazioni interne ha individuato un vero SSRF, una vulnerabilità critica di autenticazione cross-tenant e molti altri problemi che il nostro team di sicurezza ha corretto nel giro di poche ore. Le prime implementazioni con tester esterni ci hanno aiutato a migliorare il modo in cui gli utenti forniscono il contesto rilevante del prodotto e passano dall’onboarding alla messa in sicurezza del codice. Abbiamo inoltre migliorato significativamente la qualità dei risultati durante la fase beta: le scansioni sugli stessi repository nel tempo mostrano una precisione crescente, in un caso riducendo il rumore dell’84% dal lancio iniziale. Abbiamo ridotto di oltre il 90% il tasso di risultati con gravità sovrastimata e i tassi di falsi positivi nelle rilevazioni sono diminuiti di oltre il 50% in tutti i repository. Questi miglioramenti aiutano Codex Security ad allineare meglio la gravità segnalata al rischio reale e a ridurre il carico di triage non necessario per i team di sicurezza. Ci aspettiamo inoltre che il rapporto segnale/rumore continui a migliorare con ulteriori investimenti.
A partire da oggi, Codex Security viene distribuito ai clienti ChatGPT Enterprise, Business ed Edu tramite Codex web, con utilizzo gratuito per il prossimo mese.
Codex Security sfrutta i modelli di IA avanzata di OpenAI e l’agente Codex. Può ridurre il rumore e accelerare la risoluzione delle vulnerabilità collegando scoperta, convalida e applicazione delle patch al contesto specifico del sistema.
- Crea il contesto del sistema e un modello di minaccia modificabile: dopo aver configurato una scansione, analizza il tuo repository per comprendere la struttura del sistema rilevante per la sicurezza e genera un modello di minaccia specifico per il progetto che descrive cosa fa il sistema, di cosa si fida e dove è più esposto. I modelli di minaccia possono essere modificati per mantenere l'agente allineato con il tuo team.
- Dai priorità e convalida i problemi: utilizzando il modello di minaccia come contesto, cerca vulnerabilità e categorizza i risultati in base all'impatto previsto nel tuo sistema. Ove possibile, mette alla prova i risultati in ambienti di convalida isolati (sandbox) per distinguere il segnale dal rumore. Gli utenti possono vedere questa analisi nei risultati convalidati. Quando Codex Security è configurato con un ambiente su misura per il tuo progetto, può convalidare potenziali problemi direttamente nel contesto del sistema in esecuzione. Questa convalida più approfondita può ridurre ulteriormente i falsi positivi e consentire la creazione di proof of concept funzionanti, offrendo ai team di sicurezza prove più solide e un percorso più chiaro verso la risoluzione.
- Correggi i problemi con il contesto completo del sistema: infine, Codex Security propone correzioni ai problemi individuati che sono in linea con l’intento del sistema e con il comportamento del sistema. Questo consente patch che migliorano la sicurezza riducendo al minimo le regressioni e rendendole più sicure da revisionare e integrare. Gli utenti possono filtrare i risultati per concentrarsi su ciò che conta di più per il loro team e che ha il maggiore impatto sulla sicurezza.
Codex Security può anche apprendere dal tuo feedback nel tempo per migliorare la qualità dei risultati. Quando modifichi la criticità di un risultato, può utilizzare quel feedback per perfezionare il modello di minaccia e migliorare la precisione nelle esecuzioni successive, imparando cosa è rilevante nella tua architettura e nella tua esposizione al rischio.
È progettato per operare su larga scala ed evidenziare i risultati più affidabili con patch facili da accettare. Negli ultimi 30 giorni, Codex Security ha analizzato oltre 1,2 milioni di commit in repository esterni della nostra coorte beta, individuando 792 risultati critici e 10.561 risultati ad alta gravità. Problemi critici sono comparsi in meno dello 0,1% dei commit analizzati, dimostrando che il sistema è in grado di individuare problemi di sicurezza in grandi volumi di codice riducendo al minimo il rumore per i revisori.
“In qualità di azienda fortemente focalizzata sulla sicurezza dei prodotti, NETGEAR è stata lieta di aderire al programma di accesso anticipato e i risultati hanno superato le aspettative. Codex Security si è integrato senza difficoltà nel nostro solido ambiente di sviluppo della sicurezza, rafforzando la velocità e la profondità dei nostri processi di revisione. Codex Security si è integrato senza difficoltà nel nostro solido ambiente di sviluppo della sicurezza, rafforzando la velocità e la profondità dei nostri processi di revisione.
Il software open source costituisce la base dei sistemi moderni, inclusi i nostri. Abbiamo utilizzato Codex Security per analizzare i repository open source su cui facciamo maggiore affidamento, condividendo con i maintainer i risultati di sicurezza ad alto impatto che identifichiamo per contribuire a rafforzare questa base.
Nelle nostre conversazioni con i maintainer è emerso un tema ricorrente: la sfida non è la mancanza di segnalazioni di vulnerabilità, ma il loro eccesso quando sono di bassa qualità. I maintainer ci hanno detto di aver bisogno di meno falsi positivi e di un modo più sostenibile per individuare i reali problemi di sicurezza senza creare ulteriore carico di triage. Queste conversazioni hanno contribuito a definire il modo in cui stiamo supportando la community open source con Codex Security. Invece di generare grandi volumi di risultati speculativi, stiamo sviluppando un sistema che dà priorità ai problemi più affidabili su cui i maintainer possono intervenire rapidamente.
Nell’ambito di questo lavoro, abbiamo segnalato vulnerabilità critiche a diversi progetti open source ampiamente utilizzati, tra cui OpenSSH(si apre in una nuova finestra), GnuTLS(si apre in una nuova finestra), GOGS(si apre in una nuova finestra), Thorium(si apre in una nuova finestra) libssh, PHP e Chromium, e altri ancora. Sono state assegnate quattordici CVE con doppia segnalazione su due casi: abbiamo condiviso alcuni esempi nell’Appendice.
Di recente abbiamo iniziato a coinvolgere un primo gruppo di maintainer open source in Codex for OSS, il nostro programma per supportare l’ecosistema con account gratuiti ChatGPT Pro e Plus, revisione del codice e Codex Security. Progetti come vLLM hanno già utilizzato Codex Security per individuare e correggere problemi come parte del loro normale flusso di lavoro.
Prevediamo di espandere il programma nelle prossime settimane, così che più maintainer possano accedere direttamente a una sicurezza migliore, a flussi di revisione più solidi e a un maggiore supporto per il lavoro open source da cui dipende l’ecosistema. Se sei un maintainer di progetti open source e ti interessa saperne di più, ti invitiamo a contattarci.
Nei prossimi giorni distribuiremo l’accesso a Codex Security ai clienti ChatGPT Enterprise, Business ed Edu. Consulta la nostra documentazione(si apre in una nuova finestra) per saperne di più su come configurare Codex Security per il tuo team.
- GnuTLS certtool Overflow del buffer heap (off-by-one) — CVE-2025-32990(si apre in una nuova finestra)
- Overread del buffer heap di GnuTLS nell'analisi dell'estensione SCT — CVE-2025-32989(si apre in una nuova finestra)
- Double-Free di GnuTLS nell'esportazione SAN otherName — CVE-2025-32988(si apre in una nuova finestra)
- 2FA Bypass GOGS: CVE-2025-64175(si apre in una nuova finestra)
- Bypass di autenticazione GOGS — CVE-2026-25242(si apre in una nuova finestra)
- Path traversal (scrittura arbitraria) — download_ephemeral, download_children (agent) — 1CVE-2025-35430(si apre in una nuova finestra)
- LDAP injection (filtri & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(si apre in una nuova finestra)
- DoS non autenticato & abuso email — resend_email_verification — CVE-2025-35432(si apre in una nuova finestra) , CVE-2025-35436(si apre in una nuova finestra)
- Sessione non rigenerata al cambio password: User::update_user: CVE-2025-35433(si apre in una nuova finestra)
- Verifica TLS disattivata — client Elasticsearch — CVE-2025-35434(si apre in una nuova finestra)
- DoS: divisione per zero: /api/streams/depth/.../{split}: CVE-2025-35435(si apre in una nuova finestra)
- overflow del buffer dello stack di gpg-agente tramite PKDECRYPT --kem=CMS (ECC KEM): CVE-2026-24881(si apre in una nuova finestra)
- Stack-based buffer overflow in TPM2 PKDECRYPT per RSA ed ECC dovuto alla mancata validazione della lunghezza del ciphertext: CVE-2026-24882(si apre in una nuova finestra)
- CMS/PKCS7 AES-GCM ASN.1 Stack buffer overflow dei parametri: CVE-2025-15467(si apre in una nuova finestra)
- PKCS#12 PBMAC1 PBKDF2 overflow di keyLength + bypass del MAC: CVE-2025-11187(si apre in una nuova finestra)
