Codex Security tagad ir pieejams kā izpētes priekšskatījums
Šodien mēs iepazīstinām ar Codex Security, savu lietojumprogrammu drošības aģentu. Tas veido dziļu kontekstu par jūsu projektu, lai identificētu sarežģītas ievainojamības, ko citi aģentiskie rīki nepamana, un izceltu augstākas pārliecības atradumus ar labojumiem, kas būtiski uzlabo jūsu sistēmas drošību, vienlaikus pasargājot jūs no maznozīmīgu kļūdu radītā trokšņa.
Izvērtējot reālus drošības riskus, konteksts ir būtisks, taču vairums mākslīgā intelekta drošības rīku vienkārši atzīmē mazsvarīgus konstatējumus un viltus pozitīvus rezultātus, liekot drošības komandām tērēt daudz laika, lai veiktu šķirošanu. Vienlaikus aģenti paātrina programmatūras izstrādi, padarot drošības pārskatīšanu par arvien būtiskāku vājo vietu.
Codex Security risina abas problēmas. Apvienojot aģentisko spriestspēju no mūsu robežšķirtnes modeļiem ar automatizētu validāciju, tas nodrošina augstas pārliecības secinājumus un praktiski īstenojamus labojumus, lai komandas varētu koncentrēties uz svarīgākajām ievainojamībām un ātrāk piegādāt drošu kodu.
Iepriekš pazīstams kā Aardvark, Codex Security pagājušajā gadā sākās kā privāta beta versija ar nelielu klientu grupu. Agrīnās iekšējās ieviešanās tas atklāja reālu SSRF ievainojamību, kritisku starpnomnieku autentifikācijas ievainojamību un daudzas citas problēmas, kuras mūsu drošības komanda novērsa dažu stundu laikā. Agrīnie izmēģinājumi ar ārējiem testētājiem palīdzēja mums uzlabot veidu, kā lietotāji sniedz ar produktu saistītu kontekstu un pāriet no sākotnējās ieviešanas uz sava koda aizsardzību. Mēs arī būtiski uzlabojām savu konstatējumu kvalitāti beta perioda laikā – skenējumi tajos pašos repozitorijos laika gaitā uzrāda augošu precizitāti, vienā gadījumā kopš sākotnējās ieviešanas samazinot troksni par 84%. Mēs esam samazinājuši to konstatējumu īpatsvaru, kuriem smaguma pakāpe ir pārvērtēta, par vairāk nekā 90%, un kļūdaini pozitīvo rezultātu līmenis atklāšanas gadījumos ir samazinājies par vairāk nekā 50% visos repozitorijos. Šie uzlabojumi palīdz Codex Security labāk saskaņot ziņoto smaguma pakāpi ar reālās pasaules risku un samazināt nevajadzīgu triāžas slogu drošības komandām, un mēs paredzam, ka signāla-trokšņa attiecība turpinās uzlaboties, veicot turpmākus ieguldījumus.
Sākot ar šodienu, Codex Security pakāpeniski tiek ieviests ChatGPT Enterprise, Business un Edu klientiem, izmantojot Codex tīmekļa versiju, ar bezmaksas lietošanu nākamā mēneša laikā.
Codex Security izmanto OpenAI robežšķirtnes modeļus un Codex aģentu. Tas var samazināt troksni un paātrināt problēmu novēršanu, jo ievainojamību atklāšana, validēšana un labošana tiek pamatota ar konkrētās sistēmas kontekstu.
- Veido sistēmas kontekstu un izveido rediģējamu apdraudējuma modeli: pēc skenēšanas konfigurēšanas tas analizē jūsu repozitoriju, lai izprastu sistēmas drošībai būtisko struktūru, un ģenerē apdraudējuma modeli konkrētājai sistēmai, kurš var aptvert, ko sistēma dara, kam tā uzticas un kur tā ir visvairāk pakļauta riskam. Draudu modeļus var rediģēt, lai aģents būtu saskaņots ar tavu komandu.
- Prioritizē un validē problēmas: izmantojot draudu modeli kā kontekstu, tas meklē ievainojamības un kategorizē konstatēto, pamatojoties uz paredzamo reālās pasaules ietekmi jūsu sistēmā. Ja iespējams, tas pārbauda konstatējumus izolētās validācijas vidēs, lai nošķirtu būtiskos signālus no trokšņa. Lietotāji var redzēt šo analīzi apstiprinātajos konstatējumos. Kad Codex Security ir konfigurēts ar jūsu projekta vajadzībām pielāgotu vidi, tas var validēt potenciālās problēmas tieši darbojošās sistēmas kontekstā. Šī padziļinātā validācija var vēl vairāk samazināt viltus pozitīvos rezultātus un ļaut izveidot funkcionējošus koncepcijas pierādījumus, tādējādi sniedzot drošības komandām spēcīgākus pierādījumus un skaidrāku ceļu uz novēršanu.
- Novērsiet problēmas ar pilnu sistēmas kontekstu: visbeidzot, Codex Security piedāvā labojumus atklātajām problēmām, kuri atbilst sistēmas nolūkam un apkārtējai uzvedībai. Tas ļauj izmantot ielāpus, kas var uzlabot drošību, vienlaikus samazinot regresijas, padarot tos drošākus pārskatīšanai un ieviešanai. Lietotāji var filtrēt konstatējumus, lai varētu koncentrēties uz vissvarīgāko savai komandai un uz to, kam ir vislielākā ietekme uz drošību.
Codex Security laika gaitā var mācīties no tavām atsauksmēm, lai uzlabotu analīzes kvalitāti. Kad tu pielāgo konstatējuma kritiskumu, tas var izmantot šo atgriezenisko saiti, lai pilnveidotu draudu modeli un uzlabotu precizitāti turpmākajās izpildēs, mācoties, kas ir būtiski jūsu arhitektūrā un riska profilā.
Tas ir izstrādāts darbībai lielā mērogā un lai izceltu visaugstākās pārliecības atradumus ar viegli pieņemamiem ielāpiem. Pēdējo 30 dienu laikā Codex Security skenēja vairāk nekā 1,2 miljonus iesūtījumu ārējos repozitorijos mūsu beta kohortā un identificēja 792 kritiskus konstatējumus un 10 561 augstas nopietnības konstatējumus. Kritiskas problēmas parādījās mazāk nekā 0,1% no skenētajiem iesūtījumiem, parādot, ka sistēma var identificēt drošību ietekmējošas problēmas lielos koda apjomos, vienlaikus samazinot troksni pārskatītājiem.
"Kā uzņēmums, kas ir īpaši koncentrējies uz produktu drošību, NETGEAR ar prieku pievienojās agrīnās piekļuves programmai, un rezultāti pārsniedza gaidīto. Codex Security bez piepūles integrējās mūsu spēcīgajā drošības izstrādes vidē, paātrinot un padziļinot mūsu pārskatīšanas procesus. Tā konstatējumi bija iespaidīgi skaidri un visaptveroši, bieži radot sajūtu, ka kopā ar mums strādā pieredzējis produktu drošības pētnieks."
Atvērtā pirmkoda programmatūra veido mūsdienu sistēmu pamatu, tostarp arī mūsu pašu sistēmu. Mēs izmantojam Codex Security, lai skenētu atvērtā pirmkoda repozitorijus, uz kuriem mēs visvairāk paļaujamies, un paziņojam uzturētājiem par būtiskākajiem drošības atklājumiem, ko identificējam, lai palīdzētu stiprināt šo pamatu.
Sarunās ar uzturētājiem atklājās vienota tēma: problēma nav ievainojamības ziņojumu trūkums, bet gan pārāk daudz zemas kvalitātes ziņojumu. Uzturētāji mums teica, ka viņiem ir vajag mazāk viltus pozitīvu rezultātu un ilgtspējīgāku veidu, kā atklāt reālas drošības problēmas, neradot papildu triāžas slogu. Šīs sarunas palīdzēja veidot to, kā mēs atbalstām atvērtā pirmkoda kopienu ar Codex Security. Tā vietā, lai ģenerētu lielu daudzumu spekulatīvu konstatējumu, mēs veidojam sistēmu, kas nosaka prioritātes augstas ticamības problēmām, kuras uzturētāji var ātri risināt.
Šī darba ietvaros mēs ziņojām par kritiskām ievainojamībām vairākos plaši izmantotos atvērtā koda projektos, tostarp OpenSSH(atveras jaunā logā), GnuTLS(atveras jaunā logā), GOGS(atveras jaunā logā), Thorium(atveras jaunā logā) libssh, PHP un Chromium, un citos. Četrpadsmit ievainojamībām ir piešķirti CVE identifikatori, un divos gadījumos veikta dubulta ziņošana – dažus piemērus esam iekļāvuši pielikumā.
Nesen sākām uzņemt Codex for OSS programmā sākotnējo atvērtā pirmkoda uzturētāju grupu – tā ir mūsu programma, kas atbalsta ekosistēmu ar bezmaksas ChatGPT Pro un Plus kontiem, koda pārskatīšanu un Codex Security. Tādi projekti kā vLLM jau ir izmantojuši Codex Security, lai atrastu un izlabotu problēmas savas parastās darbplūsmas ietvaros.
Mēs plānojam tuvāko nedēļu laikā paplašināt programmu, lai vairāk uzturētāju būtu tiešs ceļš uz labāku drošību, spēcīgākām pārskatīšanas darbplūsmām un atbalstu atvērtā pirmkoda darbam, no kura ir atkarīga ekosistēma. Ja esi atvērtā koda uzturētājs un tevi tas interesē, lūdzu, sazinies ar mums.
Tuvākajās dienās mēs nodrošināsim Codex Security piekļuvi ChatGPT Enterprise, Business un Edu klientiem. Apskati mūsu dokumentāciju(atveras jaunā logā), lai uzzinātu vairāk par Codex Security iestatīšanu savai komandai.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(atveras jaunā logā)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(atveras jaunā logā)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(atveras jaunā logā)
- 2FA Bypass GOGS — CVE-2025-64175(atveras jaunā logā)
- Unauth bypass GOGS — CVE-2026-25242(atveras jaunā logā)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(atveras jaunā logā)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(atveras jaunā logā)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(atveras jaunā logā) , CVE-2025-35436(atveras jaunā logā)
- Session not rotated on password change — User::update_user — CVE-2025-35433(atveras jaunā logā)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(atveras jaunā logā)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(atveras jaunā logā)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(atveras jaunā logā)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(atveras jaunā logā)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(atveras jaunā logā)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(atveras jaunā logā)
