Денес го претставуваме Codex Security, нашиот агент за безбедност на апликации. Гради длабок контекст за твојот проект за да идентификува сложени ранливости што другите агентски алатки ги пропуштаат, прикажувајќи наоди со поголема доверливост со поправки што значајно ја подобруваат безбедноста на твојот систем, притоа поштедувајќи те од шумот на незначајни грешки.
Контекстот е клучен при проценување на реалните безбедносни ризици, но повеќето алатки за безбедност на вештачката интелигенција едноставно означуваат наоди со низок ефект и лажни позитиви, принудувајќи ги безбедносните тимови да трошат значително време на тријажа. Во исто време, агентите го забрзуваат развојот на софтвер, правејќи го безбедносниот преглед сè покритично тесно грло.
Codex Security се справува со двата предизвици. Со комбинирање на агентско расудување од нашите гранични модели со автоматизирана валидација, се испорачуваат наоди со висока доверба и применливи поправки, за тимовите да можат да се фокусираат на важните ранливости и побрзо да испорачуваат безбеден код.
Порано познат како Aardvark, Codex Security започна минатата година како приватна бета-верзија со мала група клиенти. Во раните внатрешни воведувања, се појави вистински SSRF, критична ранливост за вкрстена автентикација и многу други проблеми што нашиот тим за безбедност ги поправи во рок од неколку часа. Раните распоредувања со надворешни тестери ни помогнаа да го подобриме начинот на кој корисниците обезбедуваат релевантен контекст за производот и да преминат од воведување до обезбедување на нивниот код. Исто така, значително го подобривме квалитетот на нашите наоди во текот на бета-верзијата: скенирањата на истите репозиториуми со текот на времето покажуваат сè поголема прецизност, во еден случај намалувајќи го шумот за 84% од првичното воведување. Ја намаливме стапката на наоди со преценета сериозност за повеќе од 90%, а стапките на лажни позитиви кај детекциите паднаа за повеќе од 50% низ сите репозиториуми. Овие подобрувања му помагаат на Codex Security подобро да ја усогласи пријавената сериозност со ризикот од реалниот свет и да го намали непотребниот товар од тријажа за безбедносните тимови, а очекуваме соодносот на сигнал и шум да продолжи да се подобрува со понатамошни инвестиции.
Од денес, Codex Security го воведуваме за корисниците на ChatGPT Enterprise, Business и Edu преку Codex web, со бесплатна употреба во следниот месец.
Codex Security ги користи граничните модели на OpenAI и агентот Codex. Може да го намали шумот и да го забрза отстранувањето со засидрување на откривањето, валидацијата и закрпувањето на ранливостите во контекст специфичен за системот.
- Изгради контекст на системот и создај уредлив модел на закани: По конфигурирање на скенирање, го анализира твојот репозиториум за да ја разбере безбедносно релевантната структура на системот и генерира модел на закани специфичен за проектот што може да опфати што прави системот, на што му верува и каде е најмногу изложен. Моделите на закани може да се уредуваат за да се одржи агентот усогласен со твојот тим.
- Давајте приоритет и потврдувајте проблеми: Користејќи го моделот на закани како контекст, пребарува ранливости и ги категоризира наодите врз основа на очекуваното влијание во реалниот свет во вашиот систем. Каде што е можно, ги проверува наодите под притисок во контролирани средини за валидација за да го разликува сигналот од шумот. Корисниците можат да ја видат оваа анализа во потврдените наоди. Кога Codex Security е конфигуриран со околина прилагодена на твојот проект, може да ги валидира потенцијалните проблеми директно во контекст на системот што се извршува. Таа подлабока валидација може уште повеќе да ги намали лажните позитиви и да овозможи создавање функционални докази за концепт, давајќи им на безбедносните тимови посилни докази и појасен пат до ремедијација.
- Закрпи проблеми со целосен системски контекст: Конечно, Codex Security предлага поправки за откриените проблеми што се усогласени со намерата на системот и со околното однесување. Ова овозможува закрпи што можат да ја подобрат безбедноста, додека ги минимизираат регресиите, што ги прави побезбедни за преглед и за интегрирање. Корисниците можат да ги филтрираат наодите за да останат фокусирани на она што е најважно за нивниот тим и има најголемо влијание врз безбедноста.
Codex Security исто така може да учи од твоите повратни информации со текот на времето за да го подобри квалитетот на своите наоди. Кога ќе ја прилагодиш критичноста на наод, може да ги искористи тие повратни информации за да го усоврши моделот на закани и да ја подобри прецизноста при следните извршувања, како што учи што е важно во твојата архитектура и ризичен профил.
Дизајниран е за работа на големо и за прикажување на наоѓањата со највисока доверливост со закрпи што лесно се прифаќаат. Во последните 30 дена, Codex Security скенираше повеќе од 1,2 милиони комитирања низ надворешни репозиториуми во нашата бета-кохорта, идентификувајќи 792 критични наоди и 10.561 наоди со висока сериозност. Критични проблеми се појавија во помалку од 0,1% од скенираните комити, што покажува дека системот може да идентификува проблеми што влијаат на безбедноста во големи количини код, притоа минимизирајќи го шумот за прегледувачите.
"Како компанија силно фокусирана на безбедноста на производите, NETGEAR со задоволство се приклучи на програмата за ран пристап, а резултатите ги надминаа очекувањата. Codex Security се интегрираше без напор во нашата робусна средина за развој на безбедност, зајакнувајќи го темпото и длабочината на нашите процеси за преглед. Неговите наоди беа импресивно јасни и сеопфатни, често оставајќи впечаток дека искусен истражувач за безбедност на производи работи заедно со нас."
Софтверот со отворен код претставува основа на современите системи, вклучувајќи ги и нашите. Го користиме Codex Security за скенирање на репозиториумите со отворен код на кои најмногу се потпираме, споделувајќи ги безбедносните наоди со високо влијание со одржувачите за да ја зајакнеме таа основа.
Во нашите разговори со одржувачите, се појави конзистентна тема: предизвикот не е недостаток на извештаи за ранливости, туку премногу неквалитетни. Одржувачите ни кажаа дека им требаат помалку лажни позитиви и поодржлив начин да се откријат вистински безбедносни проблеми без да се создава дополнителен товар за тријажа. Овие разговори помогнаа да се обликува начинот на кој ја поддржуваме заедницата на софтвер со отворен код со Codex Security. Наместо да генерираме големи количини шпекулативни наоди, градиме систем што дава приоритет на проблеми со висока доверливост на кои одржувачите можат брзо да дејствуваат.
Како дел од оваа работа, пријавивме критични ранливости до голем број широко користени проекти со отворен код, вклучувајќи OpenSSH(се отвора во нов прозорец), GnuTLS(се отвора во нов прозорец), GOGS(се отвора во нов прозорец), Thorium(се отвора во нов прозорец) libssh, PHP и Chromium, и повеќе. Доделени се четиринаесет CVE со двојно пријавување за две - споделивме некои примери во Додатокот.
Неодамна започнавме со воведување на почетна група одржувачи на софтвер со отворен код во Codex за OSS, нашата програма за поддршка на екосистемот со бесплатни сметки на ChatGPT Pro и Plus, преглед на код и Codex Security. Проекти како vLLM веќе ја користеа Безбедност на Codex за да пронајдат и поправат проблеми како дел од нивниот вообичаен работен тек.
Планираме да ја прошириме програмата во наредните недели за да имаат повеќе одржувачи директен пат до подобра безбедност, посилни работни текови за преглед и поддршка за работата со отворен код од која зависи екосистемот. Ако си одржувач на проект со отворен код и си заинтересиран, контактирај нè.
Ќе го воведуваме пристапот до Codex Security за корисниците на ChatGPT Enterprise, Business и Edu во текот на наредните денови. Провери ги нашите документи(се отвора во нов прозорец) за да дознаеш повеќе за поставување на Codex Security за вашиот тим.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) - CVE-2025-32990(се отвора во нов прозорец)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing - CVE-2025-32989(се отвора во нов прозорец)
- GnuTLS Double-Free in otherName SAN Export - CVE-2025-32988(се отвора во нов прозорец)
- 2FA Bypass GOGS - CVE-2025-64175(се отвора во нов прозорец)
- Unauth bypass GOGS - CVE-2026-25242(се отвора во нов прозорец)
- Path traversal (arbitrary write) - download_ephemeral, download_children (agent) - CVE-2025-35430(се отвора во нов прозорец)
- LDAP injection (filters & DN) - LdapUserMap::new / get_unix_info / basic_auth_ldap - CVE-2025-35431(се отвора во нов прозорец)
- Неавтентификуван DoS и злоупотреба на е-пошта - resend_email_verification - CVE-2025-35432(се отвора во нов прозорец) , CVE-2025-35436(се отвора во нов прозорец)
- Сесијата не е ротирана при промена на лозинка - User::update_user - CVE-2025-35433(се отвора во нов прозорец)
- Оневозможена TLS верификација - Elasticsearch клиент - CVE-2025-35434(се отвора во нов прозорец)
- DoS: делење со нула - /api/streams/depth/.../{split} - CVE-2025-35435(се отвора во нов прозорец)
- gpg-агент stack buffer overflow преку PKDECRYPT --kem=CMS (ECC KEM) - CVE-2026-24881(се отвора во нов прозорец)
- Прелевање на бафер базирано на стак во TPM2 PKDECRYPT за RSA и ECC поради недостасувачка валидација на должината на шифротекстот - CVE-2026-24882(се отвора во нов прозорец)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow на стак-бафер - CVE-2025-15467(се отвора во нов прозорец)
- PKCS#12 PBMAC1 PBKDF2 прелевање на keyLength + заобиколување на MAC - CVE-2025-11187(се отвора во нов прозорец)
