आज आम्ही Codex सुरक्षा सादर करत आहोत, आमचा अनुप्रयोग सुरक्षा एजंट. इतर एजंटिक टूल्सना चुकणाऱ्या गुंतागुंतीच्या असुरक्षितता ओळखण्यासाठी ते तुमच्या प्रोजेक्टबद्दल सखोल संदर्भ तयार करते, आणि कमी महत्त्वाच्या बग्सच्या गोंगाटापासून तुम्हाला वाचवत, तुमच्या सिस्टीमची सुरक्षा अर्थपूर्णरीत्या सुधारतील अशा दुरुस्त्यांसह अधिक विश्वासार्ह निष्कर्ष समोर आणते.
खऱ्या सुरक्षा जोखमींचे मूल्यांकन करताना संदर्भ अत्यावश्यक असतो, पण बहुतेक AI सुरक्षा साधने फक्त कमी-प्रभावी निष्कर्ष आणि चुकीचे सकारात्मक निष्कर्ष फ्लॅग करतात, ज्यामुळे सुरक्षा संघांना ट्रायाजमध्ये लक्षणीय वेळ घालवावा लागतो. त्याच वेळी, एजंट्स सॉफ्टवेअर विकास वेगवान करत आहेत, ज्यामुळे सुरक्षा पुनरावलोकन अधिकाधिक महत्त्वाचा अडथळा ठरत आहे.
Codex सुरक्षा दोन्ही आव्हानांना सोडवते. आमच्या अत्याधुनिक मॉडेल्समधील रीझनिंगला स्वयंचलित व्हॅलिडेशनसोबत एकत्र करून, हे विश्वासार्ह निष्कर्ष आणि कृतीयोग्य दुरुस्त्या देते, ज्यामुळे संघांना महत्त्वाच्या भेद्यतांवर लक्ष केंद्रित करता येते आणि सुरक्षित कोड अधिक जलद वितरित करता येतो.
पूर्वी आर्डवार्क म्हणून ओळखले जाणारे, Codex सुरक्षा ने गेल्या वर्षी ग्राहकांच्या एका छोट्या गटासोबत खाजगी बीटा म्हणून सुरुवात केली. प्रारंभिक अंतर्गत उपयोजनांमध्ये, एक वास्तविक SSRF, एक गंभीर cross-tenant प्रमाणीकरण असुरक्षा, आणि इतर अनेक समस्या समोर आल्या, ज्या आमच्या सुरक्षा संघाने काही तासांत पॅच केल्या. बाह्य परीक्षकांसह केलेल्या सुरुवातीच्या तैनातींमुळे वापरकर्ते संबंधित उत्पादन संदर्भ कसा देतात आणि ऑनबोर्डिंगपासून त्यांचा कोड सुरक्षित करण्याकडे कसे जातात हे सुधारण्यात आम्हाला मदत झाली. बीटाच्या कालावधीत आम्ही आमच्या निष्कर्षांची गुणवत्ता देखील लक्षणीयरीत्या सुधारली: कालांतराने त्याच रिपॉझिटरींवरील स्कॅन्स वाढती अचूकता दाखवतात, एका प्रकरणात प्रारंभिक रोलआउटनंतरचा नॉईज 84% ने कमी झाला. आम्ही जास्त नोंदवलेल्या तीव्रतेसह निष्कर्षांचा दर 90% पेक्षा जास्त कमी केला आहे, आणि सर्व रिपॉझिटरींमध्ये डिटेक्शन्सवरील चुकीच्या-सकारात्मक दर 50% पेक्षा जास्त घटले आहेत. या सुधारणा Codex सुरक्षा ला नोंदवलेली गंभीरता वास्तविक-जगातील जोखमीशी अधिक चांगल्या प्रकारे जुळवून घेण्यास आणि सुरक्षा संघांवरील अनावश्यक ट्रायाजचा भार कमी करण्यास मदत करतात, आणि पुढील गुंतवणुकीसह सिग्नल-टू-नॉइज रेशोमध्ये सुधारणा होत राहील अशी आम्हाला अपेक्षा आहे.
आजपासून, Codex सुरक्षा चे Codex web द्वारे ChatGPT Enterprise, Business, आणि Edu ग्राहकांसाठी रोलआउट सुरू होत आहे, आणि पुढील महिन्यासाठी मोफत वापर उपलब्ध आहे.
Codex सुरक्षा OpenAI चे अत्याधुनिक मॉडेल्स आणि Codex एजंटचा लाभ घेते. हे प्रणाली-विशिष्ट संदर्भात असुरक्षा शोध, पडताळणी आणि पॅचिंगचे ग्राउंडिंग करून नॉईज कमी करू शकते आणि उपाययोजना गतीमान करू शकते.
- सिस्टम संदर्भ तयार करा आणि संपादनयोग्य थ्रेट मॉडेल तयार करा: स्कॅन कॉन्फिगर केल्यानंतर, ते तुमच्या रिपॉझिटरीचे विश्लेषण करून सिस्टमची सुरक्षा-संबंधित रचना समजून घेते आणि प्रोजेक्ट-विशिष्ट थ्रेट मॉडेल तयार करते, जे सिस्टम काय करते, ते कशावर विश्वास ठेवते आणि ते कुठे सर्वाधिक उघडे आहे हे कॅप्चर करू शकते. एजंटला तुमच्या संघाशी समन्वयित ठेवण्यासाठी थ्रेट मॉडेल्स संपादित करता येतात.
- समस्यांना प्राधान्य द्या आणि त्यांची पडताळणी करा: थ्रेट मॉडेलला संदर्भ म्हणून वापरून, ते असुरक्षितता शोधते आणि तुमच्या प्रणालीतील प्रत्यक्ष जगातील अपेक्षित परिणामांच्या आधारे निष्कर्षांचे वर्गीकरण करते. शक्य असल्यास, सिग्नलला गोंगाटापासून वेगळे करण्यासाठी ते सँडबॉक्स केलेल्या वैधता वातावरणांमध्ये निष्कर्षांची दबाव चाचणी करते. वापरकर्ते सत्यापित निष्कर्षांमध्ये हे विश्लेषण पाहू शकतात. जेव्हा Codex सुरक्षा तुमच्या प्रकल्पासाठी अनुरूप अशा एन्व्हायर्नमेंटसह कॉन्फिगर केले जाते, तेव्हा ते चालू असलेल्या सिस्टीमच्या संदर्भात थेट संभाव्य समस्यांची पडताळणी करू शकते. ते अधिक सखोल व्हॅलिडेशन फॉल्स पॉझिटिव्ह्स आणखी कमी करू शकते आणि कार्यरत प्रूफ ऑफ कॉन्सेप्ट्स तयार करण्यास सक्षम करू शकते, ज्यामुळे सुरक्षा संघांना अधिक मजबूत पुरावे आणि रेमेडिएशनसाठी अधिक स्पष्ट मार्ग मिळतो.
- पूर्ण प्रणाली संदर्भासह पॅच समस्या: शेवटी, Codex सुरक्षा शोधलेल्या समस्यांसाठी प्रणालीच्या उद्देशाशी आणि आजूबाजूच्या वर्तनाशी सुसंगत अशा दुरुस्त्या सुचवते. यामुळे सुरक्षा सुधारू शकणारे पॅचेस सक्षम होतात, तसेच रिग्रेशन्स कमी ठेवत, त्यांचे रिव्ह्यू करणे आणि लँड करणे अधिक सुरक्षित होते. वापरकर्ते निष्कर्ष फिल्टर करू शकतात जेणेकरून ते त्यांच्या संघासाठी सर्वात महत्त्वाच्या आणि सर्वाधिक सुरक्षा परिणाम असलेल्या गोष्टींवर लक्ष केंद्रित ठेवू शकतील.
Codex सुरक्षा कालांतराने तुमच्या अभिप्रायातून शिकून त्याच्या निष्कर्षांची गुणवत्ता सुधारू शकते. जेव्हा तुम्ही एखाद्या निष्कर्षाची क्रिटिकलिटी समायोजित करता, तेव्हा ते त्या अभिप्रायाचा वापर करून थ्रेट मॉडेल परिष्कृत करू शकते आणि पुढील रनमध्ये अचूकता सुधारू शकते, कारण ते तुमच्या आर्किटेक्चर आणि रिस्क पोस्चरमध्ये काय महत्त्वाचे आहे हे शिकत असते.
हे मोठ्या प्रमाणात ऑपरेट करण्यासाठी डिझाइन केलेले आहे आणि सहज स्वीकारता येतील अशा पॅचेससह सर्वाधिक आत्मविश्वासार्ह निष्कर्ष समोर आणते. मागील 30 दिवसांत, Codex सुरक्षा ने आमच्या बीटा कोहोर्टमधील बाह्य रिपॉझिटरींमध्ये 1.2 दशलक्षाहून अधिक कमिट्स स्कॅन केल्या, आणि 792 गंभीर निष्कर्ष तसेच 10,561 उच्च-गंभीरतेचे निष्कर्ष ओळखले. स्कॅन केलेल्या कमिट्सपैकी 0.1% पेक्षा कमीमध्ये गंभीर समस्या दिसून आल्या, यावरून असे दिसते की प्रणाली पुनरावलोककांसाठी नॉईज कमी ठेवत मोठ्या प्रमाणातील कोडमध्ये सुरक्षा-परिणाम करणाऱ्या समस्या ओळखू शकते.
"उत्पादन सुरक्षेवर लेझरसारखे लक्ष केंद्रित करणारी कंपनी म्हणून, NETGEAR ला लवकर प्रवेश कार्यक्रमात सहभागी होण्याचा आनंद झाला, आणि निकाल अपेक्षेपेक्षा अधिक होते. Codex आमच्या मजबूत सुरक्षा विकास वातावरणात सहजपणे एकत्रित झाले, ज्यामुळे आमच्या पुनरावलोकन प्रक्रियांचा वेग आणि सखोलता अधिक मजबूत झाली. त्याचे निष्कर्ष प्रभावीपणे स्पष्ट आणि व्यापक होते, आणि अनेकदा असे वाटत होते की एक अनुभवी उत्पादन सुरक्षा संशोधक आमच्यासोबतच काम करत आहे."
ओपन सोर्स सॉफ्टवेअर आधुनिक प्रणालींचा पाया आहे, आमच्या स्वतःच्या प्रणालींसह. आम्ही सर्वाधिक अवलंबून असलेल्या ओपन-सोर्स रिपॉझिटरीज स्कॅन करण्यासाठी Codex सुरक्षा वापरत आहोत, आणि आम्ही ओळखलेल्या उच्च प्रभावी सुरक्षा निष्कर्षांची माहिती मेंटेनर्ससोबत शेअर करून त्या पायाभूत आधाराला अधिक बळकटी देण्यास मदत करत आहोत.
देखभालकर्त्यांशी झालेल्या आमच्या संभाषणांमध्ये एक सातत्यपूर्ण थीम समोर आली: आव्हान असुरक्षा अहवालांची कमतरता नसून, कमी दर्जाचे खूप जास्त अहवाल आहेत. देखभालकर्त्यांनी आम्हाला सांगितले की त्यांना कमी खोटे सकारात्मक आणि अतिरिक्त ट्रायेजचा भार न वाढवता वास्तविक सुरक्षा समस्या समोर आणण्यासाठी शाश्वत पद्धत हवी आहे. या संभाषणांमुळे Codex सुरक्षा सह ओपन-सोर्स समुदायाला आम्ही कसा पाठिंबा देतो, याला आकार देण्यास मदत झाली. अंदाजाधारित निष्कर्षांचे मोठ्या प्रमाणात निर्माण करण्याऐवजी, आम्ही अशी प्रणाली तयार करत आहोत जी देखभालकर्ते जलदपणे कारवाई करू शकतील अशा उच्च-विश्वासार्ह समस्यांना प्राधान्य देते.
या कामाचा भाग म्हणून, आम्ही OpenSSH(नवीन विंडोमध्ये उघडेल), GnuTLS(नवीन विंडोमध्ये उघडेल), GOGS(नवीन विंडोमध्ये उघडेल), Thorium(नवीन विंडोमध्ये उघडेल) libssh, PHP, आणि Chromium यांसह मोठ्या प्रमाणावर वापरल्या जाणाऱ्या अनेक ओपन-सोर्स प्रकल्पांना गंभीर असुरक्षा कळवल्या, आणि इतरही. चौदा CVEs नियुक्त करण्यात आले आहेत, त्यापैकी दोनवर दुहेरी अहवाल देण्यात आला आहे — आम्ही परिशिष्टात काही उदाहरणे सामायिक केली आहेत.
आम्ही अलीकडेच ओपन-सोर्स मेंटेनर्सच्या एका प्रारंभिक गटाला Codex for OSS मध्ये ऑनबोर्ड करायला सुरुवात केली आहे. हा आमचा इकोसिस्टमला सपोर्ट करण्यासाठीचा प्रोग्राम आहे, ज्यामध्ये मोफत ChatGPT Pro आणि ChatGPT Plus अकाउंट्स, कोड रिव्ह्यू, आणि Codex सुरक्षा समाविष्ट आहेत. vLLM सारख्या प्रकल्पांनी त्यांच्या नेहमीच्या वर्कफ्लोचा भाग म्हणून समस्या शोधण्यासाठी आणि पॅच करण्यासाठी Codex सुरक्षा आधीच वापरले आहे.
आम्ही येत्या आठवड्यांत प्रोग्रामचा विस्तार करण्याची योजना आखत आहोत, जेणेकरून अधिक मेंटेनर्सना चांगल्या सुरक्षेसाठी, मजबूत पुनरावलोकन कार्यप्रवाहांसाठी, आणि इकोसिस्टम ज्या ओपन-सोर्स कामावर अवलंबून आहे त्यासाठी थेट समर्थन मिळेल. जर तुम्ही ओपन-सोर्स देखभालकर्ता असाल आणि स्वारस्य असेल, कृपया संपर्क साधा.
आम्ही येत्या काही दिवसांत ChatGPT Enterprise, Business, आणि Edu ग्राहकांसाठी Codex सुरक्षा अॅक्सेस रोल आउट करू. तुमच्या संघासाठी Codex सुरक्षा सेट अप करण्याबद्दल अधिक जाणून घेण्यासाठी आमचे डॉक्स(नवीन विंडोमध्ये उघडेल) पहा.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(नवीन विंडोमध्ये उघडेल)
- GnuTLS SCT एक्स्टेंशन पार्सिंगमध्ये हीप बफर ओव्हररीड — CVE-2025-32989(नवीन विंडोमध्ये उघडेल)
- GnuTLS मध्ये otherName SAN Export मधील डबल-फ्री — CVE-2025-32988(नवीन विंडोमध्ये उघडेल)
- 2FA Bypass GOGS — CVE-2025-64175(नवीन विंडोमध्ये उघडेल)
- अनधिकृत बायपास GOGS — CVE-2026-25242(नवीन विंडोमध्ये उघडेल)
- पाथ ट्रॅव्हर्सल (मनमानी लेखन) — download_ephemeral, download_children (एजंट) — CVE-2025-35430(नवीन विंडोमध्ये उघडेल)
- LDAP इंजेक्शन (फिल्टर्स & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(नवीन विंडोमध्ये उघडेल)
- प्रमाणीकरण नसलेला DoS & मेल गैरवापर — resend_email_verification — CVE-2025-35432(नवीन विंडोमध्ये उघडेल) , CVE-2025-35436(नवीन विंडोमध्ये उघडेल)
- पासवर्ड बदलल्यावर सत्र रोटेट केले नाही — User::update_user — CVE-2025-35433(नवीन विंडोमध्ये उघडेल)
- TLS verification अक्षम केले — Elasticsearch client — CVE-2025-35434(नवीन विंडोमध्ये उघडेल)
- DoS: शून्याने भागाकार — /api/streams/depth/.../{split} — CVE-2025-35435(नवीन विंडोमध्ये उघडेल)
- gpg-एजंट स्टॅक बफर ओव्हरफ्लो PKDECRYPT --kem=CMS (ECC KEM) द्वारे — CVE-2026-24881(नवीन विंडोमध्ये उघडेल)
- TPM2 PKDECRYPT मध्ये RSA आणि ECC साठी स्टॅक-आधारित बफर ओव्हरफ्लो, सायफरटेक्स्ट लांबी पडताळणी नसल्यामुळे — CVE-2026-24882(नवीन विंडोमध्ये उघडेल)
- CMS/PKCS7 AES-GCM ASN.1 पॅरॅम्स स्टॅक बफर ओव्हरफ्लो — CVE-2025-15467(नवीन विंडोमध्ये उघडेल)
- PKCS#12 PBMAC1 PBKDF2 keyLength ओव्हरफ्लो + MAC बायपास — CVE-2025-11187(नवीन विंडोमध्ये उघडेल)
