Illum qed nintroduċu Codex Security, l-aġent tagħna tas-sigurtà tal-applikazzjonijiet. Dan jibni kuntest profond dwar il-proġett tiegħek biex jidentifika vulnerabbiltajiet kumplessi li għodod aġentiċi oħra jitilfu, u juri sejbiet b’kunfidenza ogħla b’soluzzjonijiet li jtejbu b’mod sinifikanti s-sigurtà tas-sistema tiegħek filwaqt li jeħilsuk mill-istorbju ta’ bugs insinifikanti.
Il-kuntest huwa essenzjali meta jiġu evalwati riskji reali tas-sigurtà, iżda l-biċċa l-kbira tal-għodod AI għas-sigurtà sempliċement jimmarkaw sejbiet b’impatt baxx u false positives, u jġiegħlu lit-timijiet tas-sigurtà jqattgħu ħafna ħin fuq it-triage. Fl-istess ħin, l-aġenti qed jaċċelleraw l-iżvilupp tas-software, u jagħmlu r-reviżjoni tas-sigurtà xkiel dejjem aktar kritiku. Codex Security jindirizza ż-żewġ sfidi. Billi jgħaqqad raġunament aġentiku mill-mudelli tagħna tal-fruntiera ma’ validazzjoni awtomatizzata, iwassal sejbiet b’kunfidenza għolja u soluzzjonijiet li jistgħu jittieħdu azzjoni fuqhom sabiex it-timijiet ikunu jistgħu jiffokaw fuq il-vulnerabbiltajiet li jimpurtaw u jwasslu kodiċi sigur aktar malajr.
Qabel magħruf bħala Aardvark, Codex Security beda s-sena li għaddiet bħala beta privata ma’ grupp żgħir ta’ klijenti. F’deployments interni bikrin, sab SSRF reali, vulnerabbiltà kritika ta’ awtentikazzjoni bejn tenants differenti, u ħafna kwistjonijiet oħra li t-tim tas-sigurtà tagħna rranġa fi ftit sigħat. Deployments bikrin ma’ testers esterni għenuna ntejbu kif l-utenti jipprovdu kuntest rilevanti tal-prodott u kif jgħaddu mill-onboarding għas-sigurtà tal-kodiċi tagħhom. Tejibna wkoll b’mod sinifikanti l-kwalità tas-sejbiet tagħna matul il-beta: skans fuq l-istess repożitorji maż-żmien juru preċiżjoni dejjem akbar, u f’każ wieħed naqqsu l-istorbju b’84% mill-ewwel rollout. Naqqasna r-rata ta’ sejbiet b’severità rrappurtata żżejjed b’aktar minn 90%, u r-rati ta’ false positives fid-detezzjonijiet niżlu b’aktar minn 50% fir-repożitorji kollha. Dawn it-titjibiet jgħinu lil Codex Security jallinja aħjar is-severità rrappurtata mar-riskju fid-dinja reali u jnaqqas il-piż ta’ triage mhux meħtieġ għat-timijiet tas-sigurtà, u nistennew li l-proporzjon bejn sinjal u storbju jkompli jitjieb.
Mill-lum, Codex Security qed jibda jiġi rilaxxat f’research preview għal klijenti ta’ ChatGPT Pro, Enterprise, Business, u Edu permezz ta’ Codex web b’użu b’xejn għax-xahar li ġej.
Codex Security juża l-mudelli tal-fruntiera ta’ OpenAI u l-aġent Codex. Jista’ jnaqqas l-istorbju u jħaffef ir-rimedjazzjoni billi jorbot l-iskoperta, il-validazzjoni u l-iffissar tal-vulnerabbiltajiet ma’ kuntest speċifiku għas-sistema.
- Ibni kuntest tas-sistema u oħloq mudell ta’ theddid editjabbli: Wara li tikkonfigura scan, janalizza r-repożitorju tiegħek biex jifhem l-istruttura tas-sistema rilevanti għas-sigurtà u jiġġenera mudell ta’ theddid speċifiku għall-proġett li jista’ jaqbad x’tagħmel is-sistema, fiex tafda, u fejn hija l-aktar esposta. Il-mudelli ta’ theddid jistgħu jiġu editjati biex iżommu lill-aġent allinjat mat-tim tiegħek.
- Agħti prijorità u ivvalida l-kwistjonijiet: Bl-użu tal-mudell ta’ theddid bħala kuntest, ifittex vulnerabbiltajiet u jikkategorizza s-sejbiet skont l-impatt mistenni fid-dinja reali fis-sistema tiegħek. Fejn possibbli, jittestja b’mod intens is-sejbiet f’ambjenti ta’ validazzjoni sandboxed biex jiddistingwi s-sinjal mill-istorbju. L-utenti jistgħu jaraw din l-analiżi fis-sejbiet validati. Meta Codex Security jiġi kkonfigurat b’ambjent imfassal għall-proġett tiegħek, jista’ jivvalida kwistjonijiet potenzjali direttament fil-kuntest tas-sistema li tkun qed taħdem. Dik il-validazzjoni aktar profonda tista’ tnaqqas il-false positives aktar u tippermetti l-ħolqien ta’ proof-of-concepts li jaħdmu, u tagħti lit-timijiet tas-sigurtà evidenza aktar b’saħħitha u triq aktar ċara għar-rimedjazzjoni.
- Iffissa l-kwistjonijiet b’kuntest sħiħ tas-sistema: Fl-aħħar, Codex Security jipproponi soluzzjonijiet għall-kwistjonijiet skoperti li jallinjaw mal-intenzjoni tas-sistema u mal-imġiba ta’ madwarha. Dan jippermetti patches li jistgħu jtejbu s-sigurtà filwaqt li jimminimizzaw ir-regressjonijiet, u jagħmilhom aktar siguri biex jiġu riveduti u adottati. L-utenti jistgħu jiffiltraw is-sejbiet sabiex jibqgħu ffukati fuq dak li l-aktar jimporta għat-tim tagħhom u li għandu l-ogħla impatt fuq is-sigurtà.
Codex Security jista’ wkoll jitgħallem mill-feedback tiegħek maż-żmien biex itejjeb il-kwalità tas-sejbiet tiegħu. Meta tbiddel il-kritiċità ta’ sejba, jista’ juża dak il-feedback biex jirfina l-mudell ta’ theddid u jtejjeb il-preċiżjoni f’eżekuzzjonijiet sussegwenti hekk kif jitgħallem x’jimporta fl-arkitettura tiegħek u fil-pożizzjoni tar-riskju tiegħek.
Huwa ddisinjat biex jaħdem fuq skala kbira u juri s-sejbiet bl-ogħla kunfidenza b’patches faċli biex jiġu aċċettati. Fl-aħħar 30 jum, Codex Security skannja aktar minn 1.2 miljun commit f’repożitorji esterni fil-koorti beta tagħna, u identifika 792 sejba kritika u 10,561 sejba ta’ severità għolja. Kwistjonijiet kritiċi dehru f’inqas minn 0.1% tal-commits skannjati, u dan juri li s-sistema tista’ tidentifika kwistjonijiet li jaffettwaw is-sigurtà f’volumi kbar ta’ kodiċi filwaqt li timminimizza l-istorbju għar-reviżuri.
“Bħala kumpanija ffukata b’mod qawwi fuq is-sigurtà tal-prodott, NETGEAR kienet kuntenta tingħaqad mal-programm ta’ aċċess bikri, u r-riżultati qabżu l-aspettattivi. Codex Security integra ruħu bla xkiel fl-ambjent robust tagħna tal-iżvilupp tas-sigurtà, u saħħaħ il-pass u l-fond tal-proċessi ta’ reviżjoni tagħna. Is-sejbiet tiegħu kienu impressjonanti fiċ-ċarezza u l-kompletezza tagħhom, u spiss taw l-impressjoni li riċerkatur b’esperjenza fis-sigurtà tal-prodott kien qed jaħdem magħna.”
Is-software open source jifforma l-pedament tas-sistemi moderni, inklużi tagħna. Ilna nużaw Codex Security biex niskannjaw ir-repożitorji open-source li niddependu fuqhom l-aktar, u naqsmu sejbiet ta’ sigurtà b’impatt għoli li nidentifikaw mal-maintainers biex ngħinu nsaħħu dak il-pedament.
Fil-konversazzjonijiet tagħna mal-maintainers, ħarġet tema konsistenti: l-isfida mhijiex nuqqas ta’ rapporti ta’ vulnerabbiltà, iżda wisq minnhom ta’ kwalità baxxa. Il-maintainers qalulna li għandhom bżonn inqas false positives u mod aktar sostenibbli biex joħorġu fil-wiċċ kwistjonijiet reali tas-sigurtà mingħajr ma joħolqu piż addizzjonali ta’ triage. Dawn il-konversazzjonijiet għenu jsawru kif qed nappoġġjaw il-komunità open source b’Codex Security. Minflok niġġeneraw volumi kbar ta’ sejbiet spekulattivi, qed nibnu sistema li tagħti prijorità lil kwistjonijiet b’kunfidenza għolja li l-maintainers jistgħu jaġixxu fuqhom malajr.
Bħala parti minn dan ix-xogħol, irrappurtajna vulnerabbiltajiet kritiċi lil numru ta’ proġetti open-source użati ħafna inklużi OpenSSH(jinfetaħ f’tieqa ġdida), GnuTLS(jinfetaħ f’tieqa ġdida), GOGS(jinfetaħ f’tieqa ġdida), Thorium(jinfetaħ f’tieqa ġdida) libssh, PHP, u Chromium, u aktar. Ġew assenjati erbatax-il CVE b’rapportar doppju fuq tnejn — qsamna xi eżempji fl-Appendiċi.
Dan l-aħħar bdejna ndaħħlu koorti inizjali ta’ maintainers open-source f’Codex for OSS, il-programm tagħna biex nappoġġjaw l-ekosistema b’kontijiet ChatGPT Pro u Plus b’xejn, reviżjoni tal-kodiċi, u Codex Security. Proġetti bħal vLLM diġà użaw Codex Security biex isibu u jiffissaw kwistjonijiet bħala parti mill-fluss tax-xogħol normali tagħhom.
Nippjanaw li nespandu l-programm fil-ġimgħat li ġejjin sabiex aktar maintainers ikollhom triq diretta lejn sigurtà aħjar, flussi ta’ xogħol ta’ reviżjoni aktar b’saħħithom, u appoġġ għax-xogħol open-source li minnu jiddependi l-ekosistema. Jekk inti maintainer open-source u interessat, jekk jogħġbok ikkuntattjana.
Se nkunu qed noħorġu l-aċċess għal Codex Security għal klijenti ta’ ChatGPT Enterprise, Business, u Edu matul il-jiem li ġejjin. Agħti ħarsa lejn id-dokumentazzjoni tagħna(jinfetaħ f’tieqa ġdida) biex titgħallem aktar dwar kif twaqqaf Codex Security għat-tim tiegħek.
Eżempji ta’ vulnerabbiltajiet OSS b’impatt għoli skoperti minn Codex Security:
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(jinfetaħ f’tieqa ġdida)
- GnuTLS Heap Buffer Overread fil-parsing tal-estensjoni SCT — CVE-2025-32989(jinfetaħ f’tieqa ġdida)
- GnuTLS Double-Free fl-esportazzjoni otherName SAN — CVE-2025-32988(jinfetaħ f’tieqa ġdida)
- Bypass ta’ 2FA f’GOGS — CVE-2025-64175(jinfetaħ f’tieqa ġdida)
- Bypass unauth f’GOGS — CVE-2026-25242(jinfetaħ f’tieqa ġdida)
- Path traversal (kitba arbitrarja) — download_ephemeral, download_children (aġent) — CVE-2025-35430(jinfetaħ f’tieqa ġdida)
- Injezzjoni LDAP (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(jinfetaħ f’tieqa ġdida)
- DoS mhux awtentikat & abbuż tal-posta — resend_email_verification — CVE-2025-35432(jinfetaħ f’tieqa ġdida) , CVE-2025-35436(jinfetaħ f’tieqa ġdida)
- Is-session ma ddurx meta tinbidel il-password — User::update_user — CVE-2025-35433(jinfetaħ f’tieqa ġdida)
- Verifika TLS diżattivata — klijent Elasticsearch — CVE-2025-35434(jinfetaħ f’tieqa ġdida)
- DoS: diviżjoni b’żero — /api/streams/depth/.../{split} — CVE-2025-35435(jinfetaħ f’tieqa ġdida)
- Stack buffer overflow ta’ gpg-agent permezz ta’ PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(jinfetaħ f’tieqa ġdida)
- Stack-based buffer overflow f’TPM2 PKDECRYPT għal RSA u ECC minħabba nuqqas ta’ validazzjoni tat-tul taċ-ciphertext — CVE-2026-24882(jinfetaħ f’tieqa ġdida)
- Stack buffer overflow tal-parametri ASN.1 ta’ CMS/PKCS7 AES-GCM — CVE-2025-15467(jinfetaħ f’tieqa ġdida)
- Overflow ta’ keyLength ta’ PKCS#12 PBMAC1 PBKDF2 + bypass ta’ MAC — CVE-2025-11187(jinfetaħ f’tieqa ġdida)
