Codex Security: одоо research preview-д
Өнөөдөр бид өөрсдийн хэрэглээний аюулгүй байдлын агент болох Codex Security-ийг танилцуулж байна. Энэ нь таны төслийн талаар гүн контекст бүрдүүлж, бусад агент төрлийн хэрэгслүүдийн алддаг нарийн төвөгтэй эмзэг байдлуудыг илрүүлэн, системийн тань аюулгүй байдлыг бодитоор сайжруулах засварын хамт илүү өндөр итгэлтэй олдворуудыг гаргаж, ач холбогдолгүй алдаануудын чимээ шуугианаас таныг чөлөөлнө.
Бодит аюулгүй байдлын эрсдэлийг үнэлэхэд контекст маш чухал боловч ихэнх AI аюулгүй байдлын хэрэгслүүд бага нөлөөтэй олдвор болон хуурамч эерэг дохиог л тэмдэглэдэг тул аюулгүй байдлын багууд ангилан шалгахад их цаг зарцуулахад хүрдэг. Үүний зэрэгцээ, агентууд програм хангамжийн хөгжүүлэлтийг хурдасгаж байгаа нь аюулгүй байдлын хяналтыг улам бүр чухал саад болгож байна. Codex Security энэ хоёр сорилтыг хоёуланг нь шийддэг. Манай хил хязгаар загваруудын агент сэтгэн бодох чадварыг автомат баталгаажуулалттай хослуулснаар багууд үнэхээр чухал эмзэг байдалд төвлөрч, аюулгүй кодыг илүү хурдан хүргэхийн тулд өндөр итгэлтэй олдвор болон хэрэгжүүлэх боломжтой засварыг хүргэдэг.
Өмнө нь Aardvark нэртэй байсан Codex Security өнгөрсөн жил цөөн тооны хэрэглэгчтэй private beta байдлаар эхэлсэн. Дотоод эхний нэвтрүүлэлтүүдэд энэ нь бодит SSRF, tenant хоорондын баталгаажуулалтын ноцтой эмзэг байдал болон бусад олон асуудлыг илрүүлсэн бөгөөд манай аюулгүй байдлын баг тэдгээрийг хэдхэн цагийн дотор нөхөөсөлсөн. Гаднын туршигчидтай хийсэн эхний нэвтрүүлэлтүүд хэрэглэгчид бүтээгдэхүүний хамааралтай контекстыг хэрхэн өгөх, мөн танилцуулгаас кодоо хамгаалах шат руу хэрхэн шилжихийг сайжруулахад бидэнд тусалсан. Мөн beta хугацаанд бид олдворуудынхаа чанарыг мэдэгдэхүйц сайжруулсан: ижил репозиторуудад хугацааны явцад хийсэн сканууд нарийвчлал өсөж байгааг харуулсан бөгөөд нэг тохиолдолд эхний нэвтрүүлэлтээс хойш чимээ шуугианыг 84%-иар бууруулсан. Бид хэт өндөр ноцтойгоор тайлагнагдсан олдворуудын түвшинг 90%-иас дээш бууруулж, илрүүлэлт дэх хуурамч эерэгийн түвшин бүх репозитор даяар 50%-иас дээш буурсан. Эдгээр сайжруулалт нь Codex Security-д тайлагнасан ноцтой байдлыг бодит эрсдэлтэй илүү сайн нийцүүлэх, аюулгүй байдлын багуудын шаардлагагүй ангилан шалгах ачааллыг бууруулахад тусалдаг бөгөөд дохио-шимээний харьцаа цаашид ч сайжирна гэж бид үзэж байна.
Өнөөдрөөс эхлэн Codex Security нь Codex web-ээр дамжин ChatGPT Pro, Enterprise, Business, Edu хэрэглэгчдэд research preview байдлаар нэвтэрч эхэлж байгаа бөгөөд ирэх нэг сарын хугацаанд үнэгүй ашиглах боломжтой.
Codex Security нь OpenAI-ийн хил хязгаар загварууд болон Codex агент-ийг ашигладаг. Энэ нь эмзэг байдлыг илрүүлэх, баталгаажуулах, нөхөөсөлөх үйл явцыг системийн онцлог контекстэд үндэслэснээр чимээ шуугианыг бууруулж, засварлалтын хурдыг нэмэгдүүлж чадна.
- Системийн контекст бүрдүүлж, засварлах боломжтой аюулын загвар үүсгэх: Скан тохируулсны дараа энэ нь репозиторыг тань шинжилж, системийн аюулгүй байдалд хамаарах бүтцийг ойлгон, систем юу хийдэг, юунд итгэдэг, хаана хамгийн их өртөмтгий байгааг багтааж чадах төслийн онцлог аюулын загварыг үүсгэнэ. Аюулын загварыг засварлаж болдог тул агент-ийг танай багтай нийцтэй байлгаж чадна.
- Асуудлуудыг эрэмбэлж, баталгаажуулах: Аюулын загварыг контекст болгон ашиглаж, эмзэг байдлуудыг хайж, олдворуудыг танай систем дэх бодит нөлөөллийн хүлээгдэж буй хэмжээнд үндэслэн ангилдаг. Боломжтой үедээ дохио ба чимээг ялгахын тулд sandbox орчны баталгаажуулалтаар олдворуудыг шалгаж үздэг. Хэрэглэгчид энэ шинжилгээг баталгаажсан олдворуудаас харж болно. Codex Security-ийг танай төсөлд тохируулсан орчинтойгоор тохируулсан үед энэ нь ажиллаж буй системийн контекст дотор боломжит асуудлуудыг шууд баталгаажуулж чадна. Ийм гүн баталгаажуулалт нь хуурамч эерэгийг бүр ч бууруулж, ажилладаг proof-of-concept үүсгэх боломжийг нээж, аюулгүй байдлын багуудад илүү хүчтэй нотолгоо болон засварлах илүү тодорхой замыг өгдөг.
- Бүрэн системийн контексттэйгээр асуудлуудыг нөхөөсөлөх: Эцэст нь Codex Security нь илэрсэн асуудлуудад системийн зорилго болон ойр орчмын зан төлөвтэй нийцсэн засваруудыг санал болгодог. Ингэснээр регрессийг багасгахын зэрэгцээ аюулгүй байдлыг сайжруулж чадах нөхөөсүүдийг бий болгож, тэдгээрийг хянаж, нэвтрүүлэхэд илүү аюулгүй болгодог. Хэрэглэгчид олдворуудыг шүүж, багтаа хамгийн чухал бөгөөд аюулгүй байдлын нөлөө хамгийн өндөр зүйлсэд төвлөрсөн хэвээр байж чадна.
Codex Security мөн таны санал хүсэлтээс хугацааны явцад суралцаж, олдворуудынхаа чанарыг сайжруулж чадна. Олдворын ноцтой байдлыг та өөрчлөх үед энэ нь уг санал хүсэлтийг ашиглан аюулын загварыг нарийсгаж, архитектур болон эрсдэлийн байр сууринд тань юу чухал болохыг сурах хэрээр дараагийн ажиллуулалтуудын нарийвчлалыг сайжруулж чадна.
Энэ нь өргөн цар хүрээнд ажиллаж, хүлээн авахад хялбар нөхөөстэй хамгийн өндөр итгэлтэй олдворуудыг гаргахаар бүтээгдсэн. Өнгөрсөн 30 хоногт Codex Security нь манай beta бүлгийн гаднын репозиторуудад 1.2 саяас дээш commit-ийг сканнердаж, 792 ноцтой олдвор болон 10,561 өндөр ноцтой олдворыг илрүүлсэн. Ноцтой асуудлууд сканнердсан commit-үүдийн 0.1%-иас бага хувьд гарсан нь хянагчдад үүсэх чимээ шуугианыг багасгахын зэрэгцээ их хэмжээний код дундаас аюулгүй байдалд нөлөөлөх асуудлуудыг систем илрүүлж чаддгийг харуулж байна.
“Бүтээгдэхүүний аюулгүй байдалд төвлөрдөг компанийн хувьд NETGEAR эрт хандалтын хөтөлбөрт нэгдсэндээ баяртай байсан бөгөөд үр дүн нь хүлээлтээс давсан. Codex Security манай бат бөх аюулгүй хөгжүүлэлтийн орчинд саадгүй уялдаж, хянан шалгах үйл явцын хурд ба гүнийг нэмэгдүүлсэн. Түүний илрүүлэлтүүд гайхалтай ойлгомжтой, иж бүрэн байсан бөгөөд туршлагатай бүтээгдэхүүний аюулгүй байдлын судлаач бидэнтэй хамтран ажиллаж байгаа мэт сэтгэгдэл төрүүлдэг байсан.”
Нээлттэй эхийн програм хангамж нь манайхаа зэрэг орчин үеийн системүүдийн суурийг бүрдүүлдэг. Бид хамгийн их түшиглэдэг нээлттэй эхийн репозиторуудад скан хийхдээ Codex Security-ийг ашиглаж, илрүүлсэн өндөр нөлөөтэй аюулгүй байдлын олдворуудаа хариуцагчидтай хуваалцан энэ суурийг бэхжүүлэхэд тусалж байна.
Хариуцагчидтай хийсэн яриануудаас нэг нийтлэг сэдэв гарч ирсэн: асуудал нь эмзэг байдлын тайлан дутмагт биш, харин чанар муутай тайлан хэт олонд байдагт оршиж байна. Хариуцагчид хуурамч эерэг цөөнтэй, мөн нэмэлт ангилан шалгах ачаалал үүсгэхгүйгээр бодит аюулгүй байдлын асуудлуудыг гаргаж ирэх илүү тогтвортой аргыг хүсэж байгаагаа бидэнд хэлсэн. Эдгээр яриа нь бид нээлттэй эхийн хамтын нийгэмлэгийг Codex Security-ээр хэрхэн дэмжихээ тодорхойлоход тусалсан. Таамаг шинжтэй олон тооны олдвор үүсгэхийн оронд бид хариуцагчид хурдан арга хэмжээ авч чадах өндөр итгэлтэй асуудлуудыг эрэмбэлдэг системийг бүтээж байна.
Энэ ажлын хүрээнд бид OpenSSH(шинэ цонхонд нээгдэнэ), GnuTLS(шинэ цонхонд нээгдэнэ), GOGS(шинэ цонхонд нээгдэнэ), Thorium(шинэ цонхонд нээгдэнэ), libssh, PHP, Chromium зэрэг өргөн хэрэглэгддэг хэд хэдэн нээлттэй эхийн төсөлд ноцтой эмзэг байдлыг мэдээлсэн. Арван дөрвөн CVE оноогдсон бөгөөд тэдгээрийн хоёрт нь хамтарсан тайлагнал хийгдсэн — бид зарим жишээг Хавсралтад хуваалцсан.
Саяхан бид Codex for OSS хөтөлбөртөө нээлттэй эхийн хариуцагчдын эхний бүлгийг элсүүлж эхэлсэн. Энэ нь экосистемийг үнэгүй ChatGPT Pro болон Plus бүртгэл, кодын хяналт, Codex Security-ээр дэмжих манай хөтөлбөр юм. vLLM зэрэг төслүүд ердийн ажлын урсгалынхаа нэг хэсэг болгон Codex Security-ийг ашиглан асуудал олж, нөхөөсөлж эхэлсэн.
Ирэх долоо хоногуудад бид энэ хөтөлбөрийг өргөжүүлж, илүү олон хариуцагчид илүү сайн аюулгүй байдал, илүү хүчтэй хяналтын ажлын урсгал, мөн экосистемийн түшиглэдэг нээлттэй эхийн ажлыг дэмжих шууд замтай болгохоор төлөвлөж байна. Хэрэв та нээлттэй эхийн хариуцагч бөгөөд сонирхож байвал холбогдоно уу.
Ирэх хэдэн өдөрт бид ChatGPT Enterprise, Business, Edu хэрэглэгчдэд Codex Security-ийн хандалтыг нэвтрүүлнэ. Багтаа Codex Security-ийг хэрхэн тохируулах талаар илүү ихийг мэдэхийн тулд манай баримтжуулалтыг(шинэ цонхонд нээгдэнэ) үзнэ үү.
Codex Security-ийн илрүүлсэн өндөр нөлөөтэй OSS эмзэг байдлын жишээнүүд:
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(шинэ цонхонд нээгдэнэ)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(шинэ цонхонд нээгдэнэ)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(шинэ цонхонд нээгдэнэ)
- GOGS дахь 2FA тойрох боломж — CVE-2025-64175(шинэ цонхонд нээгдэнэ)
- GOGS дахь нэвтрэлтгүй тойрох боломж — CVE-2026-25242(шинэ цонхонд нээгдэнэ)
- Замын traversal (дурын бичилт) — download_ephemeral, download_children (agent) — CVE-2025-35430(шинэ цонхонд нээгдэнэ)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(шинэ цонхонд нээгдэнэ)
- Нэвтрэлтгүй DoS & мэйл урвуулан ашиглалт — resend_email_verification — CVE-2025-35432(шинэ цонхонд нээгдэнэ) , CVE-2025-35436(шинэ цонхонд нээгдэнэ)
- Нууц үг солиход session эргүүлэн үүсгээгүй — User::update_user — CVE-2025-35433(шинэ цонхонд нээгдэнэ)
- TLS баталгаажуулалтыг идэвхгүй болгосон — Elasticsearch client — CVE-2025-35434(шинэ цонхонд нээгдэнэ)
- DoS: тэгээр хуваах — /api/streams/depth/.../{split} — CVE-2025-35435(шинэ цонхонд нээгдэнэ)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(шинэ цонхонд нээгдэнэ)
- Шифртекстийн уртын баталгаажуулалт дутсанаас үүдэлтэй RSA болон ECC-д зориулсан TPM2 PKDECRYPT дахь stack-based buffer overflow — CVE-2026-24882(шинэ цонхонд нээгдэнэ)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(шинэ цонхонд нээгдэнэ)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(шинэ цонхонд нээгдэнэ)
