Šiandien pristatome „Codex Security“ – mūsų programų saugumo agentą. Jis sukaupia išsamų jūsų projekto kontekstą, kad nustatytų sudėtingus pažeidžiamumus, kurių kiti agentų įrankiai nepastebi, ir pateikia patikimesnių radinių su pataisomis, kurios reikšmingai pagerina jūsų sistemos saugumą, išvengiant nereikšmingų klaidų sukeliamo triukšmo.
Kontekstas yra būtinas vertinant realią saugumo riziką, tačiau dauguma dirbtinio intelekto saugumo įrankių tiesiog pažymi mažo poveikio radinius ir klaidingai teigiamus rezultatus, todėl saugumo komandos privalo skirti daug laiko problemoms rūšiuoti. Tuo pat metu agentai spartina programinės įrangos kūrimą, todėl saugumo peržiūra tampa vis kritiškesne kliūtimi.
„Codex Security“ sprendžia abu šiuos iššūkius. Derinant mūsų priešakinių modelių agentų protavimą su automatizuotu tikrinimu, šis įrankis pateikia patikimų radinių ir pritaikomų pataisų, todėl komandos gali susitelkti į svarbius pažeidžiamumus ir greičiau pateikti saugų kodą.
Anksčiau vadintas Aardvark, „Codex Security“ buvo pradėtas naudoti praėjusiais metais kaip privati beta versija, skirta nedidelei klientų grupei. Ankstyvuosiuose vidiniuose diegimuose jis aptiko tikrą SSRF, kritinį kelių nuomininkų autentifikavimo pažeidžiamumą ir daug kitų problemų, kurias mūsų saugumo komanda ištaisė per kelias valandas. Ankstyvi diegimai su išoriniais bandytojais padėjo mums patobulinti būdus, kaip naudotojai pateikia atitinkamą produkto kontekstą ir pereina nuo įvedimo prie savo kodo apsaugojimo. Beta versijos laikotarpiu taip pat smarkiai pagerinome aptinkamų problemų kokybę: ilgainiui atliekami tų pačių saugyklų nuskaitymai rodo didėjantį tikslumą, o vienu atveju triukšmas nuo pradinio diegimo sumažėjo 84 proc. Radinių, kurių pavojingumas buvo nurodytas per didelis, skaičių sumažinome daugiau nei 90 proc., o klaidingai teigiamų aptikimų dalis visose saugyklose sumažėjo daugiau nei 50 proc. Šie patobulinimai padeda „Codex Security“ geriau suderinti pranešamą pavojingumą su realia rizika ir sumažinti nereikalingą problemų rūšiavimo naštą saugumo komandoms, o toliau investuojant tikimės, kad naudingos informacijos ir triukšmo santykis toliau gerės.
Nuo šiandien „Codex Security“ tampa prieinamas „ChatGPT Enterprise“, „ChatGPT Business“ ir „ChatGPT Edu“ klientams per „Codex“ saityną ir kitą mėnesį juo bus galima naudotis nemokamai.
„Codex Security“ naudoja „OpenAI“ priešakinius modelius ir „Codex“ agentą. Jis gali sumažinti triukšmą ir paspartinti problemų šalinimą, pažeidžiamumų aptikimą, tikrinimą ir taisymą pagrįsdamas konkrečios sistemos kontekstu.
- Sistemos konteksto kaupimas ir redaguojamo grėsmių modelio kūrimas: sukonfigūravus nuskaitymą, įrankis analizuoja jūsų saugyklą, kad suprastų su saugumu susijusią sistemos struktūrą, ir sugeneruoja konkrečiam projektui pritaikytą grėsmių modelį, kuris gali užfiksuoti, ką sistema daro, kuo ji pasitiki ir kur ji yra labiausiai pažeidžiama. Grėsmių modelius galima redaguoti siekiant užtikrinti, kad agentas atitiktų jūsų komandos poreikius.
- Problemų prioritetų nustatymas ir tikrinimas: naudojant grėsmių modelį kaip kontekstą, ieškoma pažeidžiamumų ir radiniai kategorizuojami pagal numatomą realų poveikį jūsų sistemai. Kai įmanoma, įrankis išbando radinius izoliuotose tikrinimo aplinkose, kad atskirtų naudingą informaciją nuo triukšmo. Naudotojai gali matyti šią analizę patikrintuose radiniuose. Kai „Codex Security“ sukonfigūruojamas su jūsų projektui pritaikyta aplinka, jis gali patikrinti galimas problemas tiesiogiai veikiančios sistemos kontekste. Toks išsamesnis tikrinimas gali dar labiau sumažinti klaidingai teigiamų rezultatų skaičių ir leisti sukurti veikiančius koncepcijos įrodymus, suteikiant saugumo komandoms svaresnių įrodymų ir aiškesnį problemų šalinimo būdą.
- Problemų taisymas atsižvelgiant į visą sistemos kontekstą: galiausiai „Codex Security“ pasiūlo aptiktų problemų pataisas, kurios atitinka sistemos paskirtį ir susijusią elgseną. Tai leidžia pritaikyti pataisas, kurios gali pagerinti saugumą ir kartu sumažinti regresijų skaičių, todėl jas saugiau peržiūrėti ir įdiegti. Naudotojai gali filtruoti radinius, kad galėtų susitelkti į tai, kas jų komandai svarbiausia ir daro didžiausią įtaką saugumui.
„Codex Security“ taip pat ilgainiui gali mokytis iš jūsų grįžtamojo ryšio, kad pagerintų radinių kokybę. Kai pakoreguojate radinio kritiškumą, jis gali panaudoti šį grįžtamąjį ryšį grėsmių modeliui tobulinti ir vėlesnių vykdymų tikslumui didinti, nes mokosi, kas svarbu jūsų architektūrai ir rizikos būklei.
Jis sukurtas veikti dideliu mastu ir pateikti patikimiausius radinius su lengvai priimamomis pataisomis. Per pastarąsias 30 dienų „Codex Security“ nuskaitė daugiau nei 1,2 mln. kodo pakeitimų (angl. commits) išorinėse mūsų beta versijos grupės saugyklose ir nustatė 792 kritinius radinius bei 10 561 didelio pavojingumo radinį. Kritinių problemų pasitaikė mažiau nei 0,1 proc. nuskaitytų pakeitimų, o tai rodo, kad sistema gali nustatyti saugumui įtakos turinčias problemas dideliuose kodo kiekiuose, kartu sumažindama triukšmą peržiūros specialistams.
NETGEAR, kaip ypač didelį dėmesį produkto saugumui skirianti įmonė, džiaugėsi prisijungusi prie išankstinės prieigos programos, o rezultatai pranoko lūkesčius. „Codex Security“ lengvai integravosi į mūsų patikimą saugaus kūrimo aplinką ir padidino peržiūros procesų tempą bei išsamumą. Jo aptikti radiniai buvo įspūdingai aiškūs ir išsamūs, todėl dažnai atrodė, kad kartu dirba patyręs produkto saugumo tyrėjas.“
Atvirojo kodo programinė įranga sudaro šiuolaikinių sistemų, įskaitant ir mūsų, pagrindą. Naudojome „Codex Security“ atvirojo kodo saugykloms, kuriomis labiausiai pasikliaujame, nuskaityti ir dalijomės nustatytais didelio poveikio saugumo radiniais su prižiūrėtojais, kad padėtume sustiprinti šį pagrindą.
Pokalbiuose su prižiūrėtojais išryškėjo nuosekli tema: iššūkį kelia ne pažeidžiamumų ataskaitų trūkumas, o per didelis žemos kokybės ataskaitų kiekis. Prižiūrėtojai mums sakė, kad jiems reikia mažiau klaidingai teigiamų rezultatų ir tvaresnio būdo atskleisti realias saugumo problemas, nesukuriant papildomos problemų rūšiavimo naštos. Šie pokalbiai padėjo suformuoti mūsų atvirojo kodo bendruomenės palaikymo naudojant „Codex Security“ būdą. Užuot generavę didelius kiekius spėjamų radinių, kuriame sistemą, kurioje pirmenybė teikiama patikimoms problemoms, kurias prižiūrėtojai gali greitai išspręsti.
Vykdydami šį darbą, pranešėme apie kritinius pažeidžiamumus daugeliui plačiai naudojamų atvirojo kodo projektų, įskaitant OpenSSH(atsidaro naujame lange), GnuTLS(atsidaro naujame lange), GOGS(atsidaro naujame lange), Thorium(atsidaro naujame lange), „libssh“, PHP, „Chromium“ ir kitus. Priskirta keturiolika CVE (angl. Common Vulnerabilities and Exposures), o apie du pranešta dvigubai – priede pateikiame keletą pavyzdžių.
Neseniai pradėjome įvesti pradinę atvirojo kodo prižiūrėtojų grupę į „Codex for OSS“ – mūsų programą, skirtą palaikyti ekosistemą suteikiant nemokamas „ChatGPT Pro“ ir „ChatGPT Plus“ paskyras, kodo peržiūros funkciją ir „Codex Security“. Tokie projektai kaip „vLLM“ jau naudojo „Codex Security“ problemoms rasti ir ištaisyti atlikdami savo įprastą darbo eigą.
Artimiausiomis savaitėmis planuojame išplėsti programą, kad daugiau prižiūrėtojų turėtų tiesioginį kelią į geresnį saugumą, patikimesnes peržiūros darbo eigas ir paramą atvirojo kodo darbams, nuo kurių priklauso ekosistema. Jei esate atvirojo kodo prižiūrėtojas ir susidomėjote, susisiekite.
Artimiausiomis dienomis suteiksime prieigą prie „Codex Security“ klientams, naudojantiems „ChatGPT Enterprise“, „ChatGPT Business“ ir „ChatGPT Edu“. Peržiūrėkite mūsų dokumentaciją(atsidaro naujame lange), kad sužinotumėte daugiau, kaip nustatyti „Codex Security“ savo komandai.
- „GnuTLS“ įrankio „certtool“ krūvos buferio perpildymas (angl. Heap-Buffer Overflow, Off-by-One) – CVE-2025-32990(atsidaro naujame lange)
- „GnuTLS“ krūvos buferio perpildymas analizuojant SCT plėtinį – CVE-2025-32989(atsidaro naujame lange)
- „GnuTLS“ dvigubas atlaisvinimas (angl. Double-Free) eksportuojant „otherName SAN“ – CVE-2025-32988(atsidaro naujame lange)
- Dviejų veiksnių autentifikavimo apėjimas GOGS sistemoje – CVE-2025-64175(atsidaro naujame lange)
- Neautorizuotas apėjimas GOGS sistemoje – CVE-2026-25242(atsidaro naujame lange)
- Kelio kirtimas (savavališkas rašymas) – „download_ephemeral“, „download_children“ (agentas) – CVE-2025-35430(atsidaro naujame lange)
- LDAP injekcija (filtrai ir DN) – „LdapUserMap::new“ / „get_unix_info“ / „basic_auth_ldap“ – CVE-2025-35431(atsidaro naujame lange)
- Neautentifikuotas DoS ir piktnaudžiavimas el. paštu – „resend_email_verification“ – CVE-2025-35432(atsidaro naujame lange) , CVE-2025-35436(atsidaro naujame lange)
- Sesija nekeičiama pakeitus slaptažodį – „User::update_user“ – CVE-2025-35433(atsidaro naujame lange)
- Išjungtas TLS tikrinimas – „Elasticsearch“ klientas – CVE-2025-35434(atsidaro naujame lange)
- DoS: dalyba iš nulio – /api/streams/depth/.../{split} – CVE-2025-35435(atsidaro naujame lange)
- „gpg-agent“ steko buferio perpildymas per „PKDECRYPT --kem=CMS“ (ECC KEM) – CVE-2026-24881(atsidaro naujame lange)
- Steko buferio perpildymas TPM2 PKDECRYPT, skirtame RSA ir ECC, dėl trūkstamo šifro teksto ilgio tikrinimo – CVE-2026-24882(atsidaro naujame lange)
- CMS/PKCS7 AES-GCM ASN.1 parametrų steko buferio perpildymas – CVE-2025-15467(atsidaro naujame lange)
- PKCS#12 PBMAC1 PBKDF2 „keyLength“ perpildymas ir MAC apėjimas – CVE-2025-11187(atsidaro naujame lange)
