I dag introduserer vi Codex Security, vår agent for applikasjonssikkerhet. Den bygger dyptgående kontekst om prosjektet ditt for å identifisere komplekse sårbarheter som andre agentiske verktøy overser, og løfter frem funn med høyere sikkerhet og rettelser som på en meningsfull måte forbedrer sikkerheten i systemet ditt, samtidig som den skåner deg for støyen fra ubetydelige feil.
Kontekst er avgjørende når man vurderer reelle sikkerhetsrisikoer, men de fleste AI-sikkerhetsverktøy flagger bare funn med lav påvirkning og falske positiver, noe som tvinger sikkerhetsteam til å bruke betydelig tid på triage. Samtidig fremskynder agenter programvareutviklingen, noe som gjør sikkerhetsgjennomgang til en stadig mer kritisk flaskehals.
Codex Security tar opp begge utfordringene. Ved å kombinere resonnering med agentisk tilnærming fra våre banebrytende modeller med automatisert validering, leverer det funn med høy grad av sikkerhet og konkrete utbedringer, slik at team kan fokusere på sårbarhetene som betyr noe, og levere sikker kode raskere.
Codex Security var tidligere kjent som Aardvark, og startet i fjor som en privat beta med en liten gruppe kunder. I tidlige interne utrullinger avdekket det en reell SSRF, en kritisk cross-tenant autentiseringssårbarhet, og mange andre problemer som sikkerhetsteamet vårt rettet innen få timer. Tidlige utrullinger med eksterne testere hjalp oss med å forbedre hvordan brukere gir relevant produktkontekst og går fra onboarding til å sikre koden sin. Vi forbedret også kvaliteten på funnene våre betydelig i løpet av betaen: skanninger på de samme lagrene over tid viser økende presisjon, i ett tilfelle ved å redusere støy med 84 % siden den første utrullingen. Vi har redusert andelen funn med overrapportert alvorlighetsgrad med mer enn 90 %, og andelen falske positive på deteksjoner har falt med mer enn 50 % på tvers av alle lagre. Disse forbedringene hjelper Codex Security med å bedre samsvare rapportert alvorlighetsgrad med reell risiko og redusere unødvendig triagebelastning for sikkerhetsteam, og vi forventer at signal-til-støy-forholdet vil fortsette å forbedres med ytterligere investeringer.
Fra og med i dag starter vi utrullingen av Codex Security til ChatGPT Enterprise-, Business- og Edu-kunder via Codex web, med gratis bruk den neste måneden.
Codex Security utnytter OpenAIs banebrytende modeller og Codex-agenten. Det kan redusere støy og akselerere utbedring ved å bruke forankring av oppdagelse, validering og patching av sårbarheter i systemspesifikk kontekst.
- Bygg systemkontekst og opprett en redigerbar trusselmodell: Etter at du har konfigurert en skanning, analyserer den lageret ditt for å forstå den sikkerhetsrelevante strukturen i systemet, og genererer en prosjekttilpasset trusselmodell som kan fange opp hva systemet gjør, hva det stoler på, og hvor det er mest eksponert. Trusselmodellene kan redigeres slik at agenten alltid er på linje med teamet ditt.
- Prioriter og valider problemer: Ved å bruke trusselmodellen som kontekst søker den etter sårbarheter og kategoriserer funn basert på forventet innvirkning i den virkelige verden i systemet ditt. Der det er mulig, stresstester den funn i sandkassebaserte valideringsmiljøer for å skille signal fra støy. Brukere kan se denne analysen i de validerte funnene. Når Codex Security er konfigurert med et miljø som er skreddersydd for prosjektet ditt, kan det validere potensielle problemer direkte i konteksten av det kjørende systemet. Den dypere valideringen kan redusere falske positiver ytterligere og muliggjøre utviklingen av fungerende konseptbevis, noe som gir sikkerhetsteam sterkere bevis og en tydeligere vei til utbedring.
- Feilrett problemer med full systemkontekst: Til slutt foreslår Codex Security feilrettinger for de oppdagede problemene som er i tråd med systemets hensikt og den omkringliggende atferden. Dette muliggjør oppdateringer som kan forbedre sikkerheten samtidig som de minimerer regresjoner, noe som gjør dem tryggere å gjennomgå og få inn. Brukere kan filtrere funnene slik at de holder fokus på det som er viktigst for teamet deres og har størst innvirkning på sikkerheten.
Codex Security kan også lære av tilbakemeldingene dine over tid for å forbedre kvaliteten på funnene sine. Når du justerer kritikaliteten til et funn, kan den bruke denne tilbakemeldingen til å forbedre trusselmodellen og øke presisjonen ved senere kjøringer, ettersom den lærer hva som er viktig i arkitekturen og risikosituasjonen din.
Den er utformet for å fungere i stor skala og fremheve funn med høyest grad av sikkerhet med patcher som er enkle å godta. I løpet av de siste 30 dagene skannet Codex Security mer enn 1,2 millioner commits på tvers av eksterne lagre i vår betakohort, og identifiserte 792 kritiske funn og 10 561 funn med høy alvorlighetsgrad. Kritiske problemer dukket opp i under 0,1% av de skannede commitene, noe som viser at systemet kan identifisere sikkerhetsrelaterte problemer i store mengder kode samtidig som det minimerer støy for dem som gjennomgår koden.
«Som et selskap med et knivskarpt fokus på produktsikkerhet, var NETGEAR glade for å bli med i programmet for tidlig tilgang, og resultatene overgikk forventningene. Codex Security ble integrert sømløst i vårt robuste sikkerhetsutviklingsmiljø, noe som styrket tempoet og dybden i gjennomgangsprosessene våre. Funnene var imponerende klare og omfattende, og ga ofte inntrykk av at en erfaren produktsikkerhetsforsker jobbet sammen med oss.»
Programvare med åpen kildekode danner grunnlaget for moderne systemer, inkludert våre egne. Vi har brukt Codex Security til å skanne åpen kildekode-lagrene vi er mest avhengige av, og deler sikkerhetsfunn med stor innvirkning som vi identifiserer med vedlikeholdere for å bidra til å styrke dette fundamentet.
I samtalene våre med vedlikeholdere dukket det opp et gjennomgående tema: Utfordringen er ikke mangel på sårbarhetsrapporter, men for mange av lav kvalitet. Vedlikeholdere fortalte oss at de trenger færre falske positive funn og en mer bærekraftig måte å avdekke reelle sikkerhetsproblemer på uten å skape ytterligere triagebelastning. Disse samtalene bidro til å forme hvordan vi støtter åpen kildekode-fellesskapet med Codex Security. I stedet for å generere store mengder spekulative funn, bygger vi et system som prioriterer problemer med høy tillit som vedlikeholderne kan handle raskt på.
Som en del av dette arbeidet rapporterte vi kritiske sårbarheter til en rekke mye brukte åpen kildekode-prosjekter, inkludert OpenSSH(åpnes i et nytt vindu), GnuTLS(åpnes i et nytt vindu), GOGS(åpnes i et nytt vindu), Thorium(åpnes i et nytt vindu) libssh, PHP og Chromium, og flere. Fjorten CVE-er har blitt tildelt med dobbel rapportering på to – vi har delt noen eksempler i vedlegget.
Vi har nylig begynt å onboarde en første kohort av vedlikeholdere av åpen kildekode til Codex for OSS, programmet vårt for å støtte økosystemet med gratis ChatGPT Pro- og Plus-kontoer, kodegjennomgang og Codex Security. Prosjekter som vLLM har allerede brukt Codex Sikkerhet til å finne og rette problemer som en del av den normale arbeidsflyten sin.
Vi planlegger å utvide programmet i løpet av de kommende ukene, slik at flere vedlikeholdere får en direkte vei til bedre sikkerhet, sterkere gjennomgangsarbeidsflyter og støtte for arbeidet med åpen kildekode som økosystemet er avhengig av. Hvis du er en vedlikeholder av åpen kildekode og er interessert, ta kontakt med oss.
Vi ruller ut Codex Security-tilgang til ChatGPT Enterprise-, Business- og Edu-kunder i løpet av de kommende dagene. Sjekk dokumentene våre(åpnes i et nytt vindu) for å finne ut mer om hvordan du konfigurerer Codex Security for teamet ditt.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(åpnes i et nytt vindu)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(åpnes i et nytt vindu)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(åpnes i et nytt vindu)
- 2FA Bypass GOGS — CVE-2025-64175(åpnes i et nytt vindu)
- Unauth bypass GOGS — CVE-2026-25242(åpnes i et nytt vindu)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(åpnes i et nytt vindu)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(åpnes i et nytt vindu)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(åpnes i et nytt vindu) , CVE-2025-35436(åpnes i et nytt vindu)
- Session not rotated on password change — User::update_user — CVE-2025-35433(åpnes i et nytt vindu)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(åpnes i et nytt vindu)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(åpnes i et nytt vindu)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(åpnes i et nytt vindu)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(åpnes i et nytt vindu)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(åpnes i et nytt vindu)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(åpnes i et nytt vindu)
