Codex Security jest teraz dostępny jako wersja poglądowa do badań

Dzisiaj przedstawiamy Codex Security – naszego agenta ds. bezpieczeństwa aplikacji. Tworzy on głęboki kontekst wokół projektu, aby identyfikować złożone luki w zabezpieczeniach, które umykają innym narzędziom agentowym. Zapewnia bardziej wiarygodne wyniki wraz z poprawkami, które realnie zwiększają bezpieczeństwo systemu, jednocześnie oszczędzając użytkownikom niepotrzebnej pracy nad nieistotnymi błędami.

Kontekst jest kluczowy przy ocenie rzeczywistych zagrożeń bezpieczeństwa, ale większość narzędzi bezpieczeństwa opartych na AI po prostu sygnalizuje wyniki o niewielkim znaczeniu i fałszywe alarmy, zmuszając zespoły ds. bezpieczeństwa do poświęcania znacznej ilości czasu na selekcję. Jednocześnie agenci przyspieszają rozwój oprogramowania, przez co przegląd bezpieczeństwa staje się coraz bardziej krytycznym wąskim gardłem.

Codex Security rozwiązuje oba opisane wyżej problemy. Łącząc agentowe rozumowanie z naszych pionierskich modeli z automatyczną walidacją, zapewnia wyniki o wysokim poziomie pewności i praktyczne poprawki, dzięki czemu zespoły mogą skupić się na istotnych lukach i szybciej dostarczać bezpieczny kod.

Codex Security, znany wcześniej jako Aardvark⁠, zadebiutował w ubiegłym roku jako prywatna wersja beta dla niewielkiej grupy klientów. We wczesnych wdrożeniach wewnętrznych ujawnił rzeczywisty błąd SSRF, krytyczną lukę w zabezpieczeniach uwierzytelniania między najemcami oraz wiele innych problemów, które nasz zespół ds. bezpieczeństwa załatał w ciągu kilku godzin. Wczesne wdrożenia z udziałem zewnętrznych testerów pomogły nam udoskonalić sposób, w jaki użytkownicy dostarczają istotny kontekst produktu, oraz usprawnić przejście od etapu onboardingu do zabezpieczania kodu. W ramach wersji beta znacząco poprawiliśmy też jakość naszych wyników: skany tych samych repozytoriów na przestrzeni czasu pokazują rosnącą precyzję, co w jednym przypadku pozwoliło na ograniczenie szumu o 84% od początkowego wdrożenia.  Zmniejszyliśmy odsetek wyników o zawyżonym stopniu krytyczności o ponad 90%, a wskaźniki fałszywych alarmów w wykryciach spadły o ponad 50% we wszystkich repozytoriach. Te usprawnienia pomagają Codex Security dopasować raportowany stopień krytyczności do rzeczywistego ryzyka oraz zredukować niepotrzebne obciążenie procesem triażu dla zespołów ds. bezpieczeństwa. Spodziewamy się, że dzięki dalszym inwestycjom stosunek sygnału do szumu będzie nadal się poprawiał.

Od dzisiaj Codex Security jest wdrażany dla klientów ChatGPT Enterprise, Business i Edu za pośrednictwem interfejsu sieciowego Codex, z możliwością bezpłatnego korzystania przez najbliższy miesiąc.

Codex Security wykorzystuje pionierskie modele OpenAI oraz agenta Codex. Pozwala zredukować szum i przyspieszyć proces naprawczy dzięki osadzeniu wykrywania, weryfikacji oraz łataniu luk w zabezpieczeniach w kontekście specyficznym dla danego systemu.

1. Tworzenie kontekstu systemu i edytowalnego modelu zagrożeń: Po skonfigurowaniu skanowania narzędzie analizuje repozytorium, aby zrozumieć istotną z punktu widzenia bezpieczeństwa strukturę systemu, i generuje specyficzny dla projektu model zagrożeń, który może uchwycić, jak zachowuje się system, czemu ufa i gdzie jest najbardziej narażony. Modele zagrożeń można edytować, aby agent pozostawał dostosowany do potrzeb zespołu.
2. Priorytetyzacja i weryfikacja problemów: Wykorzystując model zagrożeń jako kontekst, narzędzie wyszukuje luki w zabezpieczeniach i kategoryzuje wyniki na podstawie oczekiwanego rzeczywistego wpływu na system. W miarę możliwości poddaje ustalenia testom weryfikacyjnym w izolowanych środowiskach, aby skutecznie odróżnić istotne sygnały od szumu. Użytkownicy mogą zapoznać się z tą analizą w zweryfikowanych wynikach. Gdy Codex Security jest skonfigurowany ze środowiskiem dostosowanym do projektu, może weryfikować potencjalne problemy bezpośrednio w kontekście działającego systemu. Ta dogłębna walidacja może jeszcze bardziej ograniczyć liczbę fałszywych alarmów i umożliwić tworzenie działających dowodów koncepcji, zapewniając zespołom ds. bezpieczeństwa mocniejsze dowody i wyraźniejszą ścieżkę do eliminowania problemów.
3. Rozwiązywanie problemów z pełnym kontekstem systemowym: Codex Security proponuje poprawki do wykrytych problemów, które są zgodne z intencją systemu i zachowaniem otoczenia. To umożliwia stosowanie poprawek mogących poprawić bezpieczeństwo przy jednoczesnym minimalizowaniu regresji, co sprawia, że są one bezpieczniejsze do weryfikacji i wdrożenia. Użytkownicy mogą filtrować wyniki, aby skupić się na tym, co jest najważniejsze dla ich zespołu i ma największy wpływ na bezpieczeństwo.

Codex Security może również z czasem uczyć się na podstawie opinii użytkowników, aby poprawić jakość swoich wyników. Po dostosowaniu krytyczności wykrytego zagrożenia narzędzie może wykorzystać informacje zwrotne do udoskonalenia modelu zagrożeń i zwiększenia precyzji w kolejnych sesjach, ucząc się, co ma znaczenie w konkretnej architekturze i postawie w zakresie ryzyka.

Codex Security został zaprojektowany do działania na dużą skalę i wyświetlania najbardziej wiarygodnych wyników wraz z łatwymi do zaakceptowania poprawkami. W ciągu ostatnich 30 dni przeskanował ponad 1,2 miliona zatwierdzonych zmian w zewnętrznych repozytoriach naszej grupy beta, identyfikując 792 krytyczne wyniki i 10 561 wyników o wysokiej wadze. Krytyczne problemy pojawiły się w mniej niż 0,1% przeskanowanych zatwierdzeń, co pokazuje, że system potrafi identyfikować kwestie wpływające na bezpieczeństwo w dużych ilościach kodu, jednocześnie minimalizując szum dla weryfikatorów.

Oprogramowanie open source stanowi fundament nowoczesnych systemów, w tym także naszych. Korzystamy z Codex Security do skanowania repozytoriów open source, na których najbardziej polegamy, i dzielimy się z opiekunami najważniejszymi wynikami dotyczącymi bezpieczeństwa.

W naszych rozmowach z opiekunami wyłonił się stały motyw: problemem nie jest brak zgłoszeń dotyczących luk w zabezpieczeniach, lecz zbyt duża liczba zgłoszeń niskiej jakości. Opiekunowie powiedzieli nam, że potrzebują mniej fałszywych alarmów i bardziej zrównoważonego sposobu na wykrywanie rzeczywistych problemów związanych z bezpieczeństwem bez tworzenia dodatkowego obciążenia związanego z klasyfikacją. Te rozmowy pomogły ukształtować sposób, w jaki wspieramy społeczność open source dzięki Codex Security. Zamiast generować duże ilości spekulatywnych ustaleń, budujemy system, który priorytetowo traktuje problemy o wysokim stopniu pewności, aby opiekunowie mogli szybko podjąć działania.

W ramach tych prac zgłosiliśmy krytyczne luki w zabezpieczeniach do wielu powszechnie używanych projektów open source, w tym OpenSSH⁠(otwiera nowe okno), GnuTLS⁠(otwiera nowe okno), GOGS⁠(otwiera nowe okno), Thorium⁠(otwiera nowe okno) libssh, PHP i Chromium oraz innych. Przypisano czternaście CVE, przy czym dwa zgłoszono podwójnie – kilka przykładów udostępniliśmy w Załączniku.

Niedawno rozpoczęliśmy wdrażanie pierwszej grupy opiekunów projektów open source do Codex for OSS, naszego programu wspierającego ekosystem poprzez bezpłatne konta ChatGPT Pro i Plus, przegląd kodu oraz Codex Security. Projekty takie jak vLLM już korzystały z Codex Security do znajdowania i rozwiązywania problemów w ramach swoich standardowych procesów.

Planujemy rozszerzyć program w najbliższych tygodniach, aby więcej opiekunów miało bezpośredni dostęp do lepszego bezpieczeństwa, sprawniejszych procesów weryfikacji oraz wsparcia dla pracy open source, na której polega ekosystem. Jeśli jesteś zainteresowanym opiekunem projektu open source, skontaktuj się z nami⁠.

W ciągu najbliższych dni będziemy udostępniać Codex Security klientom ChatGPT Enterprise, Business i Edu. Dowiedz się więcej w naszej dokumentacji⁠(otwiera nowe okno) na temat konfiguracji Codex Security pod kątem własnego zespołu.

• Przepełnienie bufora na stercie (off-by-one) w certtool GnuTLS — CVE-2025-32990⁠(otwiera nowe okno)
• Przekroczenie zakresu odczytu bufora na stercie w GnuTLS podczas analizowania rozszerzenia SCT — CVE-2025-32989⁠(otwiera nowe okno)
• Podwójne zwolnienie pamięci w GnuTLS w eksporcie otherName SAN — CVE-2025-32988⁠(otwiera nowe okno)
• Obejście 2FA GOGS — CVE-2025-64175⁠(otwiera nowe okno)
• Obejście uwierzytelniania GOGS — CVE-2026-25242⁠(otwiera nowe okno)
• Path traversal (dowolny zapis) — download_ephemeral, download_children (agent) — CVE-2025-35430⁠(otwiera nowe okno)
• Wstrzyknięcie LDAP (filtry & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(otwiera nowe okno)
• Nieuwierzytelniony atak DoS i nadużycia poczty — resend_email_verification — CVE-2025-35432⁠(otwiera nowe okno) , CVE-2025-35436⁠(otwiera nowe okno)
• Sesja nie została zrotowana po zmianie hasła — User::update_user — CVE-2025-35433⁠(otwiera nowe okno)
• Wyłączona weryfikacja TLS — klient Elasticsearch — CVE-2025-35434⁠(otwiera nowe okno)
• DoS: dzielenie przez zero — /api/streams/depth/.../{split} — CVE-2025-35435⁠(otwiera nowe okno)
• Przepełnienie bufora stosu w gpg-agent za pośrednictwem PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881⁠(otwiera nowe okno)
• Przepełnienie bufora opartego na stosie w TPM2 PKDECRYPT dla RSA i ECC z powodu braku walidacji długości szyfrogramu — CVE-2026-24882⁠(otwiera nowe okno)
• Przepełnienie bufora stosu parametrów CMS/PKCS7 AES-GCM ASN.1 — CVE-2025-15467⁠(otwiera nowe okno)
• Przepełnienie keyLength PBKDF2 w PKCS#12 PBMAC1 + ominięcie MAC — CVE-2025-11187⁠(otwiera nowe okno)