Codex Security: ახლა კვლევითი წინასწარი ვერსიის სახით
დღეს წარმოგიდგენთ Codex Security-ს, ჩვენი აპლიკაციური უსაფრთხოების აგენტს. ის ქმნის თქვენი პროექტის ღრმა კონტექსტს, რათა გამოავლინოს რთული მოწყვლადობები, რომლებსაც სხვა აგენტური ხელსაწყოები ვერ ამჩნევენ, და გაწვდით უფრო მაღალი სანდოობის მიგნებებს ისეთ გამოსწორებებთან ერთად, რომლებიც რეალურად აუმჯობესებს თქვენი სისტემის უსაფრთხოებას და ამავე დროს გათავისუფლებთ უმნიშვნელო ბაგების ხმაურისგან.
რეალური უსაფრთხოების რისკების შეფასებისას კონტექსტი აუცილებელია, მაგრამ AI უსაფრთხოების ხელსაწყოების უმეტესობა უბრალოდ აღნიშნავს დაბალი გავლენის მქონე მიგნებებსა და ცრუ დადებითებს, რის გამოც უსაფრთხოების გუნდებს მნიშვნელოვან დროს უწევთ ტრიაჟზე დახარჯვა. ამავე დროს, აგენტები აჩქარებენ პროგრამული უზრუნველყოფის განვითარებას, რის გამოც უსაფრთხოების მიმოხილვა სულ უფრო კრიტიკულ bottleneck-ად იქცევა. Codex Security ორივე გამოწვევას პასუხობს. ჩვენი მოწინავე მოდელების აგენტური მსჯელობისა და ავტომატური ვალიდაციის გაერთიანებით, ის აწვდის მაღალი სანდოობის მიგნებებს და ქმედით გამოსწორებებს, რათა გუნდებმა ყურადღება გაამახვილონ იმ მოწყვლადობებზე, რომლებიც მართლაც მნიშვნელოვანია, და უფრო სწრაფად გამოუშვან უსაფრთხო კოდი.
ადრე ცნობილი როგორც Aardvark, Codex Security გასულ წელს დაიწყო, როგორც დახურული ბეტა მომხმარებელთა მცირე ჯგუფისთვის. ადრეულ შიდა დანერგვებში მან გამოავლინა რეალური SSRF, კრიტიკული cross-tenant ავთენტიკაციის მოწყვლადობა და მრავალი სხვა პრობლემა, რომლებიც ჩვენმა უსაფრთხოების გუნდმა რამდენიმე საათში შეასწორა. გარე ტესტერებთან ადრეული დანერგვები დაგვეხმარა გაგვეუმჯობესებინა, როგორ აწვდიან მომხმარებლები შესაბამის პროდუქტის კონტექსტს და როგორ გადადიან ონბორდინგიდან თავიანთი კოდის დაცვაზე. ასევე მნიშვნელოვნად გავაუმჯობესეთ ჩვენი მიგნებების ხარისხი ბეტას განმავლობაში: დროთა განმავლობაში იმავე რეპოზიტორიუმებზე სკანირებები აჩვენებს მზარდ სიზუსტეს, ერთ შემთხვევაში კი საწყის გაშვებასთან შედარებით ხმაური 84%-ით შემცირდა. ჩვენ შევამცირეთ გადაჭარბებულად შეფასებული სიმძიმის მქონე მიგნებების მაჩვენებელი 90%-ზე მეტით, ხოლო ცრუ დადებითების მაჩვენებელი გამოვლენებში 50%-ზე მეტად დაეცა ყველა რეპოზიტორიუმში. ეს გაუმჯობესებები Codex Security-ს ეხმარება, რომ რეპორტირებული სიმძიმე უკეთ შეესაბამებოდეს რეალურ რისკს და უსაფრთხოების გუნდებისთვის შეამციროს ზედმეტი ტრიაჟის ტვირთი, და ველით, რომ signal-to-noise თანაფარდობა გაუმჯობესებას გააგრძელებს.
დღეიდან Codex Security კვლევითი წინასწარი ვერსიის სახით ხელმისაწვდომი ხდება ChatGPT Pro, Enterprise, Business და Edu მომხმარებლებისთვის Codex web-ის მეშვეობით, მომდევნო ერთი თვის განმავლობაში უფასო გამოყენებით.
Codex Security იყენებს OpenAI-ის მოწინავე მოდელებსა და Codex აგენტს. მას შეუძლია შეამციროს ხმაური და დააჩქაროს გამოსწორება იმით, რომ მოწყვლადობების აღმოჩენა, ვალიდაცია და პატჩების შექმნა აბამს სისტემისთვის სპეციფიკურ კონტექსტს.
- ააგეთ სისტემის კონტექსტი და შექმენით რედაქტირებადი threat model: სკანის კონფიგურაციის შემდეგ, ის აანალიზებს თქვენს რეპოზიტორიუმს, რათა გაიგოს სისტემის უსაფრთხოებისთვის მნიშვნელოვანი სტრუქტურა და ქმნის პროექტისთვის სპეციფიკურ threat model-ს, რომელიც აღწერს, რას აკეთებს სისტემა, რას ენდობა და სად არის ყველაზე მეტად დაუცველი. threat model-ების რედაქტირება შესაძლებელია, რათა აგენტი თქვენს გუნდთან თანხვედრაში დარჩეს.
- პრიორიტეტიზაცია და ვალიდაცია გაუკეთეთ პრობლემებს: threat model-ის კონტექსტად გამოყენებით, ის ეძებს მოწყვლადობებს და ახარისხებს მიგნებებს თქვენს სისტემაში მოსალოდნელი რეალური გავლენის მიხედვით. სადაც შესაძლებელია, ის ამოწმებს მიგნებებს sandboxed ვალიდაციის გარემოებში, რათა გაარჩიოს სიგნალი ხმაურისგან. მომხმარებლებს შეუძლიათ ეს ანალიზი ნახონ დადასტურებულ მიგნებებში. როცა Codex Security კონფიგურირებულია თქვენს პროექტზე მორგებული გარემოთი, მას შეუძლია პოტენციური პრობლემების ვალიდაცია პირდაპირ გაშვებული სისტემის კონტექსტში. ასეთი უფრო ღრმა ვალიდაცია კიდევ უფრო ამცირებს ცრუ დადებითებს და შესაძლებელს ხდის სამუშაო proof-of-concept-ების შექმნას, რაც უსაფრთხოების გუნდებს აძლევს უფრო ძლიერ მტკიცებულებას და პრობლემების გამოსწორების უფრო მკაფიო გზას.
- გამოასწორეთ პრობლემები სისტემის სრული კონტექსტით: ბოლოს, Codex Security აღმოჩენილი პრობლემებისთვის გთავაზობთ ისეთ გამოსწორებებს, რომლებიც შეესაბამება სისტემის დანიშნულებასა და გარშემო ქცევას. ეს შესაძლებელს ხდის პატჩებს, რომლებიც აუმჯობესებს უსაფრთხოებას და ამავდროულად ამცირებს რეგრესიებს, რაც მათ განხილვასა და შერწყმას უფრო უსაფრთხოს ხდის. მომხმარებლებს შეუძლიათ გაფილტრონ მიგნებები, რათა ყურადღება გაამახვილონ იმაზე, რაც მათი გუნდისთვის ყველაზე მნიშვნელოვანია და უსაფრთხოებაზე ყველაზე დიდ გავლენას ახდენს.
Codex Security-ს ასევე შეუძლია დროთა განმავლობაში ისწავლოს თქვენი უკუკავშირისგან, რათა გააუმჯობესოს თავისი მიგნებების ხარისხი. როდესაც მიგნების კრიტიკულობას ცვლით, მას შეუძლია ეს უკუკავშირი გამოიყენოს threat model-ის დასახვეწად და მომდევნო გაშვებებში სიზუსტის გასაუმჯობესებლად, რადგან სწავლობს, რა არის მნიშვნელოვანი თქვენს არქიტექტურასა და რისკის პოზაში.
ის შექმნილია მასშტაბურად მუშაობისა და უმაღლესი სანდოობის მიგნებების მარტივად მისაღები პატჩებით გამოსატანად. ბოლო 30 დღის განმავლობაში Codex Security-მ ჩვენს ბეტა-კოჰორტაში გარე რეპოზიტორიუმებში 1.2 მილიონზე მეტი commit დაასკანერა და გამოავლინა 792 კრიტიკული მიგნება და 10,561 მაღალი სიმძიმის მიგნება. კრიტიკული პრობლემები აღმოჩნდა დასკანერებული commit-ების 0.1%-ზე ნაკლებში, რაც აჩვენებს, რომ სისტემას შეუძლია დიდი მოცულობის კოდში უსაფრთხოებაზე მოქმედი პრობლემების გამოვლენა მიმომხილველებისთვის ხმაურის მინიმიზებით.
„როგორც კომპანია, რომელიც ძლიერაა ფოკუსირებული პროდუქტის უსაფრთხოებაზე, NETGEAR მოხარული იყო ადრეული წვდომის პროგრამაში მონაწილეობით, და შედეგებმა მოლოდინს გადააჭარბა. Codex Security შეუფერხებლად ინტეგრირდა ჩვენს ძლიერ უსაფრთხო განვითარების გარემოში, გააძლიერა ჩვენი შემოწმების პროცესების ტემპი და სიღრმე. მისი მიგნებები შთამბეჭდავად მკაფიო და ამომწურავი იყო, ხშირად ისეთი შეგრძნება გვქონდა, თითქოს ჩვენთან ერთად გამოცდილი პროდუქტის უსაფრთხოების მკვლევარი მუშაობდა.“
ღია კოდის პროგრამული უზრუნველყოფა თანამედროვე სისტემების საფუძველს ქმნის, მათ შორის ჩვენი სისტემებისაც. ჩვენ ვიყენებთ Codex Security-ს იმ ღია კოდის რეპოზიტორიუმების სკანირებისთვის, რომლებზეც ყველაზე მეტად ვართ დამოკიდებული, და ვუზიარებთ ჩვენს მიერ აღმოჩენილ მაღალი გავლენის უსაფრთხოების მიგნებებს maintainer-ებს, რათა ეს საფუძველი გავაძლიეროთ.
maintainer-ებთან საუბრებში ერთიანი თემა გამოიკვეთა: პრობლემა მოწყვლადობების რეპორტების ნაკლებობა კი არა, არამედ ძალიან ბევრი დაბალი ხარისხის რეპორტია. maintainer-ებმა გვითხრეს, რომ სჭირდებათ ნაკლები ცრუ დადებითი და უფრო მდგრადი გზა რეალური უსაფრთხოების პრობლემების გამოსატანად ისე, რომ დამატებითი ტრიაჟის ტვირთი არ შეიქმნას. ამ საუბრებმა ჩამოაყალიბა, როგორ ვუჭერთ მხარს ღია კოდის საზოგადოებას Codex Security-ით. სპეკულაციური მიგნებების დიდი მოცულობით გენერირების ნაცვლად, ჩვენ ვაშენებთ სისტემას, რომელიც პრიორიტეტს ანიჭებს მაღალი სანდოობის პრობლემებს, რომლებზეც maintainer-ებს სწრაფად შეუძლიათ მოქმედება.
ამ სამუშაოს ფარგლებში, ჩვენ კრიტიკული მოწყვლადობების შესახებ ვაცნობეთ არაერთ ფართოდ გამოყენებულ ღია კოდის პროექტს, მათ შორის OpenSSH(იხსნება ახალ ფანჯარაში), GnuTLS(იხსნება ახალ ფანჯარაში), GOGS(იხსნება ახალ ფანჯარაში), Thorium(იხსნება ახალ ფანჯარაში), libssh, PHP და Chromium და სხვა. მინიჭებულია თოთხმეტი CVE, მათგან ორზე კი ორმაგი რეპორტინგით — რამდენიმე მაგალითი დანართში გაგვიზიარებია.
ახლახან დავიწყეთ ღია კოდის maintainer-ების საწყისი კოჰორტის მიღება Codex for OSS-ში — ეს არის ჩვენი პროგრამა, რომლითაც ეკოსისტემას ვუჭერთ მხარს უფასო ChatGPT Pro და Plus ანგარიშებით, კოდის მიმოხილვითა და Codex Security-ით. vLLM-ის მსგავსი პროექტები უკვე იყენებენ Codex Security-ს პრობლემების საპოვნელად და გამოსასწორებლად, როგორც თავიანთი ჩვეულებრივი სამუშაო პროცესის ნაწილს.
ვგეგმავთ, უახლოეს კვირებში პროგრამა გავაფართოოთ, რათა უფრო მეტ maintainer-ს ჰქონდეს უკეთესი უსაფრთხოების, უფრო ძლიერი მიმოხილვის სამუშაო პროცესებისა და იმ ღია კოდის სამუშაოს მხარდაჭერის პირდაპირი გზა, რომელზეც ეკოსისტემაა დამოკიდებული. თუ ღია კოდის maintainer ხართ და დაინტერესებული ხართ, გთხოვთ დაგვიკავშირდეთ.
მომდევნო დღეებში Codex Security-ზე წვდომას ეტაპობრივად გავხსნით ChatGPT Enterprise, Business და Edu მომხმარებლებისთვის. გაეცანით ჩვენს დოკუმენტაციას(იხსნება ახალ ფანჯარაში), რათა მეტი გაიგოთ, როგორ მოაწყოთ Codex Security თქვენი გუნდისთვის.
Codex Security-ის მიერ აღმოჩენილი მაღალი გავლენის მქონე OSS მოწყვლადობების მაგალითები:
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(იხსნება ახალ ფანჯარაში)
- GnuTLS Heap Buffer Overread SCT Extension Parsing-ში — CVE-2025-32989(იხსნება ახალ ფანჯარაში)
- GnuTLS Double-Free otherName SAN Export-ში — CVE-2025-32988(იხსნება ახალ ფანჯარაში)
- 2FA Bypass GOGS-ში — CVE-2025-64175(იხსნება ახალ ფანჯარაში)
- Unauth bypass GOGS-ში — CVE-2026-25242(იხსნება ახალ ფანჯარაში)
- ბილიკის გავლა (თვითნებური ჩაწერა) — download_ephemeral, download_children (agent) — CVE-2025-35430(იხსნება ახალ ფანჯარაში)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(იხსნება ახალ ფანჯარაში)
- ავტორიზაციის გარეშე DoS & mail abuse — resend_email_verification — CVE-2025-35432(იხსნება ახალ ფანჯარაში) , CVE-2025-35436(იხსნება ახალ ფანჯარაში)
- პაროლის შეცვლისას სესია არ ბრუნდება — User::update_user — CVE-2025-35433(იხსნება ახალ ფანჯარაში)
- გამორთული TLS ვერიფიკაცია — Elasticsearch client — CVE-2025-35434(იხსნება ახალ ფანჯარაში)
- DoS: ნულზე გაყოფა — /api/streams/depth/.../{split} — CVE-2025-35435(იხსნება ახალ ფანჯარაში)
- gpg-agent stack buffer overflow PKDECRYPT --kem=CMS-ით (ECC KEM) — CVE-2026-24881(იხსნება ახალ ფანჯარაში)
- Stack-based buffer overflow TPM2 PKDECRYPT-ში RSA-სა და ECC-სთვის ciphertext-ის სიგრძის ვალიდაციის არარსებობის გამო — CVE-2026-24882(იხსნება ახალ ფანჯარაში)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(იხსნება ახალ ფანჯარაში)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(იხსნება ახალ ფანჯარაში)
