Codex Security: енді research preview кезеңінде
Бүгін біз қолданба қауіпсіздігіне арналған агентіміз Codex Security-ті таныстырамыз. Ол жобаңыз туралы терең контекст құрып, басқа агенттік құралдар байқамайтын күрделі осалдықтарды анықтайды, әрі жүйеңіздің қауіпсіздігін елеулі түрде жақсартатын түзетулері бар, сенімділігі жоғары табылымдарды ұсынады, сонымен бірге маңызы аз қателердің шуы сізді алаңдатпайды.
Нақты қауіпсіздік тәуекелдерін бағалауда контекст шешуші мәнге ие, бірақ AI қауіпсіздік құралдарының көбі әсері төмен табылымдар мен жалған оң нәтижелерді ғана белгілейді, соның салдарынан қауіпсіздік командалары триажға көп уақыт жұмсайды. Сонымен қатар, агенттер бағдарламалық жасақтама әзірлеуді жеделдетіп жатыр, бұл қауіпсіздік шолуын барған сайын маңызды тар орынға айналдырады. Codex Security осы екі мәселені де шешеді. Біздің озық модельдеріміздің агенттік ой қорытуын автоматтандырылған тексерумен біріктіре отырып, ол жоғары сенімді табылымдар мен іске жарамды түзетулер береді, сондықтан командалар шын мәнінде маңызды осалдықтарға назар аударып, қауіпсіз кодты жылдамырақ жеткізе алады.
Бұрын Aardvark деген атаумен белгілі болған Codex Security өткен жылы тұтынушылардың шағын тобымен жабық бета ретінде басталды. Ішкі ерте енгізулерде ол нақты SSRF-ті, кросс-тенантты аутентификациялаудағы маңызды осалдықты және қауіпсіздік командамыз бірнеше сағат ішінде жамаған басқа да көптеген мәселелерді анықтады. Сыртқы тестілеушілермен жүргізілген ерте енгізулер пайдаланушылардың өнімге қатысты маңызды контексті қалай беретіні мен онбордингтен кодын қорғауға қалай өтетіні жолын жақсартуға көмектесті. Сондай-ақ бета барысында табылымдарымыздың сапасын айтарлықтай арттырдық: уақыт өте бірдей репозиторийлердегі сканерлеулер дәлдіктің өскенін көрсетті, бір жағдайда бастапқы іске қосудан бері шуды 84%-ға қысқарттық. Біз шамадан тыс жоғары бағаланған ауырлықпен берілетін табылымдар үлесін 90%-дан астамға азайттық, ал анықтаулардағы жалған оң нәтижелердің деңгейі барлық репозиторийлер бойынша 50%-дан астамға төмендеді. Бұл жақсартулар Codex Security-ке хабарланған ауырлықты нақты өмірдегі тәуекелмен жақсырақ сәйкестендіруге және қауіпсіздік командалары үшін қажетсіз триаж жүктемесін азайтуға көмектеседі, әрі сигнал/шу арақатынасы әрі қарай да жақсара береді деп күтеміз.
Бүгіннен бастап Codex Security келесі ай бойы тегін пайдаланумен Codex web арқылы ChatGPT Pro, Enterprise, Business және Edu тұтынушыларына research preview ретінде кезең-кезеңімен қолжетімді бола бастайды.
Codex Security OpenAI-дың озық модельдері мен Codex агентін пайдаланады. Ол осалдықтарды табуды, тексеруді және жамауды жүйеге тән контекске негіздеу арқылы шуды азайтып, түзетуді жеделдете алады.
- Жүйе контекстін құрып, өңделетін қауіп моделі жасау: Сканерлеуді баптағаннан кейін ол жүйенің қауіпсіздікке қатысты құрылымын түсіну үшін репозиторийіңізді талдайды және жүйенің не істейтінін, неге сенетінін және қай жерде көбірек ашық екенін қамти алатын жобаға тән қауіп моделін жасайды. Қауіп модельдерін агенттің командаңызбен үйлесімде болуы үшін өңдеуге болады.
- Мәселелерді басымдыққа қою және тексеру: Қауіп моделін контекст ретінде пайдаланып, ол осалдықтарды іздейді және табылымдарды жүйеңіздегі күтілетін нақты әсеріне қарай санаттайды. Мүмкін болған жерде ол сигналды шудан ажырату үшін табылымдарды оқшауланған тексеру орталарында сынайды. Пайдаланушылар бұл талдауды тексерілген табылымдардан көре алады. Codex Security жобаңызға бейімделген ортамен бапталғанда, ол ықтимал мәселелерді тікелей жұмыс істеп тұрған жүйе контекстінде тексере алады. Мұндай тереңірек тексеру жалған оң нәтижелерді одан әрі азайтып, жұмыс істейтін proof-of-concept жасауға мүмкіндік береді, сөйтіп қауіпсіздік командаларына күштірек дәлел мен түзетуге айқынырақ жол береді.
- Толық жүйе контекстімен мәселелерді жамау: Соңында Codex Security анықталған мәселелерге жүйенің мақсаты мен айналасындағы мінез-құлыққа сай келетін түзетулер ұсынады. Бұл регрессияларды барынша азайта отырып қауіпсіздікті жақсартатын жамаулар жасауға мүмкіндік береді, сондықтан оларды шолу мен енгізу қауіпсізірек болады. Пайдаланушылар табылымдарды сүзгілей алады, сонда олар өз командасы үшін ең маңызды және қауіпсіздікке ықпалы ең жоғары нәрсеге назарын сақтайды.
Codex Security сондай-ақ уақыт өте келе табылымдарының сапасын жақсарту үшін сіздің кері байланысыңыздан үйрене алады. Табылымның маңыздылығын өзгерткен кезде, ол осы кері байланысты қауіп моделін нақтылау және архитектураңыз бен тәуекел ұстанымыңызда не маңызды екенін үйрене отырып, кейінгі іске қосулардағы дәлдікті арттыру үшін пайдалана алады.
Ол ауқымды түрде жұмыс істеуге және қабылдауға оңай жамаулары бар ең сенімді табылымдарды ұсынуға арналған. Соңғы 30 күнде Codex Security біздің бета тобымыздағы сыртқы репозиторийлерде 1,2 миллионнан астам commit-ті сканерлеп, 792 маңызды табылым мен 10 561 жоғары ауырлықтағы табылымды анықтады. Маңызды мәселелер сканерленген commit-тердің 0,1%-ынан азында кездесті, бұл жүйенің кодтың үлкен көлемдерінде қауіпсіздікке әсер ететін мәселелерді анықтай алатынын және сонымен бірге шолушылар үшін шуды барынша азайтатынын көрсетеді.
«Өнім қауіпсіздігіне айрықша ден қойған компания ретінде NETGEAR ерте қолжеткізу бағдарламасына қосылғанына қуанды, ал нәтижелер күткенімізден асты. Codex Security біздің сенімді қауіпсіз әзірлеу ортамызға еш қиындықсыз кіріктіріліп, шолу үдерістеріміздің қарқыны мен тереңдігін күшейтті. Оның анықтағандары таңғаларлықтай анық әрі жан-жақты болды, тіпті қасымызда тәжірибелі өнім қауіпсіздігі зерттеушісі бірге жұмыс істеп жатқандай әсер қалдырды.»
Ашық бастапқы кодты бағдарламалық жасақтама қазіргі заманғы жүйелердің, соның ішінде өз жүйелеріміздің де негізін құрайды. Біз Codex Security-ті ең көп сүйенетін ашық бастапқы код репозиторийлерін сканерлеу үшін пайдаланып келеміз және осы негізді күшейтуге көмектесу үшін анықтаған жоғары әсерлі қауіпсіздік табылымдарын мейнтейнерлермен бөлісіп отырмыз.
Мейнтейнерлермен әңгімелерімізде бір ортақ тақырып анық көрінді: мәселе осалдық туралы есептердің аздығында емес, сапасы төмен есептердің тым көптігінде. Мейнтейнерлер бізге жалған оң нәтижелер азырақ және қосымша триаж жүктемесін тудырмай, нақты қауіпсіздік мәселелерін табудың анағұрлым тұрақты жолы қажет екенін айтты. Осы әңгімелер Codex Security арқылы ашық бастапқы код қауымдастығын қалай қолдап жатқанымызды қалыптастыруға көмектесті. Біз болжамға негізделген табылымдардың үлкен көлемін жасаудың орнына, мейнтейнерлер тез әрекет ете алатын сенімділігі жоғары мәселелерге басымдық беретін жүйе құрып жатырмыз.
Осы жұмыстың бір бөлігі ретінде біз OpenSSH(жаңа терезеде ашылады), GnuTLS(жаңа терезеде ашылады), GOGS(жаңа терезеде ашылады), Thorium(жаңа терезеде ашылады), libssh, PHP және Chromium секілді кең қолданылатын ашық бастапқы код жобаларына және басқаларына маңызды осалдықтар туралы хабарладық. Он төрт CVE тағайындалды, оның екеуі бойынша бірлескен хабарлау болды — біз кейбір мысалдарды Қосымшада бөлістік.
Жақында біз экожүйені тегін ChatGPT Pro және Plus аккаунттарымен, код шолуымен және Codex Security-пен қолдауға арналған бағдарламамыз — Codex for OSS-ке ашық бастапқы код мейнтейнерлерінің бастапқы тобын қоса бастадық. vLLM сияқты жобалар Codex Security-ті қалыпты жұмыс ағынының бір бөлігі ретінде мәселелерді табу және жамау үшін қолданып үлгерді.
Алдағы апталарда бағдарламаны кеңейтуді жоспарлап отырмыз, сонда көбірек мейнтейнер жақсырақ қауіпсіздікке, күштірек шолу жұмыс ағындарына және экожүйе сүйенетін ашық бастапқы код жұмысына қолдауға тікелей жол алады. Егер сіз ашық бастапқы код мейнтейнері болсаңыз және қызықтырса, бізбен хабарласыңыз.
Алдағы күндері біз ChatGPT Enterprise, Business және Edu тұтынушыларына Codex Security қолжетімділігін кезең-кезеңімен ашамыз. Командаңыз үшін Codex Security орнату туралы көбірек білу үшін құжаттамамызды(жаңа терезеде ашылады) қараңыз.
Codex Security анықтаған әсері жоғары OSS осалдықтарының мысалдары:
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(жаңа терезеде ашылады)
- SCT кеңейтімін талдаудағы GnuTLS Heap Buffer Overread — CVE-2025-32989(жаңа терезеде ашылады)
- otherName SAN Export ішіндегі GnuTLS Double-Free — CVE-2025-32988(жаңа терезеде ашылады)
- 2FA айналып өтуі GOGS — CVE-2025-64175(жаңа терезеде ашылады)
- Аутентификациясыз айналып өту GOGS — CVE-2026-25242(жаңа терезеде ашылады)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(жаңа терезеде ашылады)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(жаңа терезеде ашылады)
- Аутентификациясыз DoS және поштаны теріс пайдалану — resend_email_verification — CVE-2025-35432(жаңа терезеде ашылады) , CVE-2025-35436(жаңа терезеде ашылады)
- Құпиясөз өзгергенде сессия жаңартылмайды — User::update_user — CVE-2025-35433(жаңа терезеде ашылады)
- TLS тексеруі өшірілген — Elasticsearch client — CVE-2025-35434(жаңа терезеде ашылады)
- DoS: нөлге бөлу — /api/streams/depth/.../{split} — CVE-2025-35435(жаңа терезеде ашылады)
- PKDECRYPT --kem=CMS (ECC KEM) арқылы gpg-agent стек буферінің толып кетуі — CVE-2026-24881(жаңа терезеде ашылады)
- Шифрмәтін ұзындығын тексерудің жоқтығынан RSA және ECC үшін TPM2 PKDECRYPT ішіндегі стекке негізделген буфердің толып кетуі — CVE-2026-24882(жаңа терезеде ашылады)
- CMS/PKCS7 AES-GCM ASN.1 params стек буферінің толып кетуі — CVE-2025-15467(жаңа терезеде ашылады)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(жаңа терезеде ашылады)
