Dina iki kami ngenalake Codex Security, agen keamanan aplikasi kami. Piranti iki mbangun konteks jero babagan proyek sampeyan kanggo ngenali kerentanan kompleks sing kelewatan dening piranti agen liyane, nampilake temuan kanthi kapercayan luwih dhuwur bebarengan karo perbaikan sing tenan nambah keamanan sistem sampeyan tanpa mbebani sampeyan karo rame bug sing ora penting.
Konteks iku wigati nalika ngevaluasi risiko keamanan nyata, nanging umume piranti keamanan AI mung nandhani temuan dampak rendah lan positif palsu, saengga meksa tim keamanan ngentekake wektu akeh kanggo triase. Ing wektu sing padha, agen nyepetake pangembangan piranti lunak, nggawe review keamanan dadi hambatan sing saya kritis. Codex Security nanggapi loro tantangan kasebut. Kanthi nggabungake nalar keagenan saka model tercanggih kami karo validasi otomatis, piranti iki ngasilake temuan kanthi kapercayan dhuwur lan perbaikan sing bisa ditindakake supaya tim bisa fokus marang kerentanan sing penting lan luwih cepet ngirim kode sing aman.
Sadurunge dikenal minangka Aardvark, Codex Security diwiwiti taun kepungkur minangka beta privat karo klompok cilik pelanggan. Ing implementasi internal awal, piranti iki nemokake SSRF nyata, kerentanan autentikasi lintas-tenant sing kritis, lan akeh masalah liyane sing ditambal tim keamanan kami mung sajrone sawetara jam. Implementasi awal karo panguji eksternal mbantu kami ningkatake cara pangguna nyedhiyakake konteks produk sing relevan lan pindhah saka onboarding menyang ngamanake kode. Kami uga ningkatake kualitas temuan kanthi signifikan sajrone beta: pemindaian ing gudang kode sing padha saka wektu ke wektu nuduhake presisi sing saya apik, ing siji kasus nyuda rame nganti 84% wiwit peluncuran awal. Kami wis nyuda tingkat temuan kanthi tingkat keparahan sing kakehan dilaporake luwih saka 90%, lan tingkat positif palsu ing deteksi mudhun luwih saka 50% ing kabeh gudang kode. Dandan iki mbantu Codex Security luwih selarasake tingkat keparahan sing dilaporake karo risiko nyata lan nyuda beban triase sing ora perlu kanggo tim keamanan, lan kami ngarepake rasio sinyal-marang-rame bakal terus saya apik.
Wiwit dina iki, Codex Security diluncurake minangka pratayang riset kanggo pelanggan ChatGPT Pro, Enterprise, Business, lan Edu liwat web Codex kanthi panggunaan gratis sajrone wulan sabanjure.
Codex Security nggunakke model tercanggih OpenAI lan agen Codex. Piranti iki bisa nyuda rame lan nyepetake remediasi kanthi pendasaran penemuan kerentanan, validasi, lan penambalan ing konteks khusus sistem.
- Bangun konteks sistem lan gawe model ancaman sing bisa diowahi: Sawise ngonfigurasi pemindaian, piranti iki nganalisis gudang kode sampeyan kanggo mangerteni struktur sistem sing relevan karo keamanan lan ngasilake model ancaman khusus proyek sing bisa nyekel apa sing ditindakake sistem, apa sing dipercaya, lan ing ngendi sistem paling rentan. Model ancaman bisa diowahi supaya agen tetep selaras karo tim sampeyan.
- Prioritasekake lan validasi masalah: Nganggo model ancaman minangka konteks, piranti iki nggoleki kerentanan lan nggolongake temuan adhedhasar dampak nyata sing diarepake ing sistem sampeyan. Yen bisa, piranti iki nguji temuan ing lingkungan validasi tersandhak kanggo mbedakake sinyal saka rame. Pangguna bisa ndeleng analisis iki ing temuan sing wis divalidasi. Nalika Codex Security dikonfigurasi nganggo lingkungan sing dicocogake karo proyek sampeyan, piranti iki bisa memvalidasi masalah potensial langsung ing konteks sistem sing lagi mlaku. Validasi sing luwih jero iki bisa luwih nyuda positif palsu lan ngaktifake nggawe bukti-konsep sing bisa dienggo, menehi bukti sing luwih kuwat lan jalur remediasi sing luwih cetha kanggo tim keamanan.
- Tambal masalah kanthi konteks sistem lengkap: Pungkasan, Codex Security ngusulake perbaikan kanggo masalah sing ditemokake sing selaras karo tujuan sistem lan prilaku ing sakupenge. Iki ngidini tambalan sing bisa nambah keamanan nalika nyilikake regresi, dadi luwih aman kanggo direview lan digabungake. Pangguna bisa nyaring temuan supaya tetep fokus marang sing paling penting kanggo tim lan nduweni dampak keamanan paling dhuwur.
Codex Security uga bisa sinau saka umpan balik sampeyan saka wektu ke wektu kanggo ningkatake kualitas temuane. Nalika sampeyan nyetel tingkat kritis saka sawijining temuan, piranti iki bisa nggunakake umpan balik kasebut kanggo nyaring model ancaman lan ningkatake presisi ing eksekusi sabanjure nalika sinau apa sing penting ing arsitektur lan postur risiko sampeyan.
Piranti iki dirancang supaya bisa operasi ing skala gedhe lan nampilake temuan kanthi kapercayan paling dhuwur kanthi tambalan sing gampang ditrima. Sajrone 30 dina pungkasan, Codex Security wis mindhai luwih saka 1,2 yuta commit ing gudang kode eksternal ing kohort beta kami, ngenali 792 temuan kritis lan 10.561 temuan kanthi tingkat keparahan dhuwur. Masalah kritis muncul ing kurang saka 0,1% commit sing dipindhai, nuduhake yen sistem iki bisa ngenali masalah sing mengaruhi keamanan ing volume kode gedhe nalika nyilikake rame kanggo reviewer.
“Minangka perusahaan sing fokus banget marang keamanan produk, NETGEAR seneng melu program akses awal, lan asile ngluwihi pangarepan. Codex Security nyawiji tanpa alangan ing lingkungan pangembangan keamanan sing kuwat, nguwatake kacepetan lan jembare proses review kami. Temuane cetha lan jangkep banget, kerep menehi rasa kaya ana panaliti keamanan produk sing wis pengalaman lagi kerja bareng karo kami.”
Piranti lunak open source dadi dhasar sistem modern, kalebu sistem kami dhewe. Kami wis nggunakke Codex Security kanggo mindhai gudang kode open-source sing paling kami andelake, lan nuduhake temuan keamanan berdampak tinggi sing kami identifikasi marang para maintainer kanggo mbantu nguwatake dhasar kasebut.
Ing obrolan kami karo para maintainer, ana tema sing terus muncul: tantangane dudu kurang laporan kerentanan, nanging kakehan laporan sing kualitase kurang. Para maintainer kandha marang kami yen dheweke butuh luwih sithik positif palsu lan cara sing luwih lestari kanggo nampilake masalah keamanan nyata tanpa nambah beban triase. Obrolan iki mbantu mbentuk cara kami ndhukung komunitas open source nganggo Codex Security. Tinimbang ngasilake volume gedhe temuan spekulatif, kami mbangun sistem sing mprioritasekake masalah kanthi kapercayan dhuwur sing bisa ditindaklanjuti para maintainer kanthi cepet.
Minangka bagean saka karya iki, kami nglaporake kerentanan kritis marang sawetara proyek open-source sing akeh digunakake kalebu OpenSSH(mbukak ing jendhela anyar), GnuTLS(mbukak ing jendhela anyar), GOGS(mbukak ing jendhela anyar), Thorium(mbukak ing jendhela anyar) libssh, PHP, lan Chromium, lan liya-liyane. Patbelas CVE wis diwenehake, kanthi pelaporan ganda ing loro kasus — kami wis nuduhake sawetara conto ing Lampiran.
Kami bubar miwiti onboarding kohort awal maintainer open-source menyang Codex for OSS, program kami kanggo ndhukung ekosistem nganggo akun ChatGPT Pro lan Plus gratis, review kode, lan Codex Security. Proyek kaya vLLM wis nggunakke Codex Security kanggo nemokake lan nambal masalah minangka bagean saka alur kerja normal.
Kami ngrancang ngembangake program iki ing sawetara minggu ngarep supaya luwih akeh maintainer nduweni jalur langsung menyang keamanan sing luwih apik, alur kerja review sing luwih kuwat, lan dhukungan kanggo karya open-source sing dadi sandaran ekosistem. Yen sampeyan maintainer open-source lan kasengsem, monggo hubungi kami.
Kami bakal ngluncurake akses Codex Security kanggo pelanggan ChatGPT Enterprise, Business, lan Edu sajrone sawetara dina ngarep. Delengen dokumentasi kami(mbukak ing jendhela anyar) kanggo sinau luwih akeh babagan nyiyapake Codex Security kanggo tim sampeyan.
Conto kerentanan OSS berdampak tinggi sing ditemokake dening Codex Security:
- Heap-Buffer Overflow GnuTLS certtool (Off-by-One) — CVE-2025-32990(mbukak ing jendhela anyar)
- Heap Buffer Overread GnuTLS ing Parsing Ekstensi SCT — CVE-2025-32989(mbukak ing jendhela anyar)
- Double-Free GnuTLS ing Ekspor SAN otherName — CVE-2025-32988(mbukak ing jendhela anyar)
- Bypass 2FA GOGS — CVE-2025-64175(mbukak ing jendhela anyar)
- Bypass unauth GOGS — CVE-2026-25242(mbukak ing jendhela anyar)
- Path traversal (tulis sembarang) — download_ephemeral, download_children (agen) — CVE-2025-35430(mbukak ing jendhela anyar)
- Injeksi LDAP (filter & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(mbukak ing jendhela anyar)
- DoS tanpa autentikasi & penyalahgunaan mail — resend_email_verification — CVE-2025-35432(mbukak ing jendhela anyar) , CVE-2025-35436(mbukak ing jendhela anyar)
- Sesi ora diputer maneh nalika sandhi diganti — User::update_user — CVE-2025-35433(mbukak ing jendhela anyar)
- Verifikasi TLS dipateni — klien Elasticsearch — CVE-2025-35434(mbukak ing jendhela anyar)
- DoS: pembagian nol — /api/streams/depth/.../{split} — CVE-2025-35435(mbukak ing jendhela anyar)
- Overflow buffer stack gpg-agent liwat PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(mbukak ing jendhela anyar)
- Overflow buffer berbasis stack ing TPM2 PKDECRYPT kanggo RSA lan ECC amarga ora ana validasi dawa ciphertext — CVE-2026-24882(mbukak ing jendhela anyar)
- Overflow buffer stack params ASN.1 CMS/PKCS7 AES-GCM — CVE-2025-15467(mbukak ing jendhela anyar)
- Overflow keyLength PKCS#12 PBMAC1 PBKDF2 + bypass MAC — CVE-2025-11187(mbukak ing jendhela anyar)
