Codex Security este acum disponibil ca previzualizare de cercetare

Astăzi îți prezentăm Codex Security, agentul nostru de securitate a aplicațiilor. Construiește un context profund despre proiectul tău pentru a identifica vulnerabilități complexe pe care alte instrumente agentice le ratează, prezentând constatări cu un nivel mai ridicat de încredere, împreună cu remedieri care îmbunătățesc în mod semnificativ securitatea sistemului tău, evitând să te lași distras de erorile nesemnificative.

Contextul este esențial în evaluarea riscurilor reale de securitate, dar majoritatea instrumentelor de securitate AI semnalează constatări cu impact redus și rezultate fals pozitive, obligând echipele de securitate să petreacă mult timp pentru triaj. În același timp, agenții accelerează dezvoltarea de software, făcând din revizuirea de securitate un blocaj din ce în ce mai critic.

Codex Security abordează ambele provocări. Prin combinarea raționamentului agentic din modelele noastre de vârf cu validarea automată, oferă constatări cu un grad ridicat de încredere și remedieri aplicabile, astfel încât echipele să se poată concentra pe vulnerabilitățile importante și să livreze cod securizat mai rapid.

Cunoscut anterior ca Aardvark⁠, Codex Security a debutat anul trecut ca o versiune beta privată cu un grup restrâns de clienți. În implementările interne timpurii, a fost descoperit un SSRF real, o vulnerabilitate critică de autentificare cross-tenant și multe alte probleme, pe care echipa noastră de securitate le-a remediat în câteva ore. Implementările timpurii cu testeri externi ne-au ajutat să îmbunătățim modul în care utilizatorii oferă context relevant despre produs și trec de la integrare la securizarea codului lor. De asemenea, am îmbunătățit semnificativ calitatea constatărilor pe parcursul funcționării versiunii beta: scanările efectuate pe aceleași depozite de-a lungul timpului arată o precizie crescândă, într-un caz reducând zgomotul cu 84% de la implementarea inițială.  Am redus rata constatărilor cu severitate supraevaluată cu peste 90%, iar ratele de rezultate fals pozitive la detecții au scăzut cu peste 50% în toate depozitele. Aceste îmbunătățiri ajută Codex Security să alinieze mai bine severitatea raportată cu riscul real și să reducă povara inutilă a triajului pentru echipele de securitate, iar noi ne așteptăm ca raportul semnal-zgomot să continue să se îmbunătățească odată cu investiții suplimentare.

Începând de astăzi, Codex Security este lansat pentru clienții ChatGPT Enterprise, Business și Edu prin Codex web, cu utilizare gratuită în următoarea lună.

Codex Security valorifică modelele de vârf ale OpenAI și agentul Codex. Poate reduce zgomotul și accelera remedierea prin fundamentarea descoperirii, validării și remedierii vulnerabilităților în context specific sistemului.

1. Construiește contextul sistemului și creează un model de amenințări editabil: După configurarea unei scanări, analizează depozitul pentru a înțelege structura sistemului relevantă pentru securitate și generează un model de amenințări specific proiectului, care poate surprinde ce face sistemul, în ce are încredere și unde este cel mai expus. Modelele de amenințări pot fi editate pentru a menține agentul aliniat cu echipa ta.
2. Prioritizează și validează problemele: Folosind modelul de amenințări ca context, caută vulnerabilități și categorizează constatările în funcție de impactul real așteptat asupra sistemului tău. Acolo unde este posibil, testează rezultatele sub presiune în medii de validare izolate de tip sandbox pentru a distinge semnalul de zgomot. Utilizatorii pot vedea această analiză în rezultatele validate. Când Codex Security este configurat cu un mediu adaptat proiectului tău, poate valida potențiale probleme direct în contextul sistemului aflat în execuție. Acea validare mai profundă poate reduce și mai mult rezultatele fals pozitive și poate permite crearea de proiecte demonstrative funcționale, oferind echipelor de securitate dovezi mai solide și o cale mai clară către remediere.
3. Remediază problemele cu context complet al sistemului: În cele din urmă, Codex Security propune remedieri pentru problemele descoperite care se aliniază cu intenția sistemului și cu comportamentul adiacent. Acest lucru permite remedieri care pot îmbunătăți securitatea minimizând regresiile, făcându-le mai sigure de revizuit și de integrat. Utilizatorii pot filtra constatările, astfel încât să se concentreze pe ceea ce contează cel mai mult pentru echipa lor și are cel mai mare impact asupra securității.

Codex Security poate, de asemenea, să învețe din feedbackul tău în timp, pentru a îmbunătăți calitatea constatărilor sale. Când ajustezi importanța unei constatări, poate folosi acel feedback pentru a rafina modelul de amenințări și a îmbunătăți precizia la rulările ulterioare, pe măsură ce învață ce contează în arhitectura ta și în postura ta de risc.

Este conceput să opereze la scara necesară și să evidențieze constatările cu cel mai înalt nivel de încredere, cu remedieri ușor de acceptat. În ultimele 30 de zile, Codex Security a scanat peste 1,2 milioane de commit-uri în depozite externe din cohorta noastră beta, identificând 792 de constatări critice și 10.561 de constatări de severitate ridicată. Probleme critice au apărut în mai puțin de 0.1% dintre commit-urile scanate, ceea ce arată că sistemul poate identifica probleme cu impact asupra securității în volume mari de cod, minimizând în același timp zgomotul pentru revizori.

Software-ul open source formează fundamentul sistemelor moderne, inclusiv ale noastre. Am folosit Codex Security pentru a scana depozitele open-source pe care ne bazăm cel mai mult, împărtășindu-le responsabililor de mentenanță descoperirile de securitate cu impact ridicat pe care le identificăm, pentru a ajuta la consolidarea acestei fundații.

În conversațiile noastre cu responsabilii de mentenanță, a apărut o temă constantă: provocarea nu este lipsa rapoartelor de vulnerabilități, ci prea multe rapoarte de calitate scăzută. Responsabilii de mentenanță ne-au spus că au nevoie de mai puține rezultate fals pozitive și de o modalitate mai sustenabilă de a evidenția problemele reale de securitate fără a crea o povară suplimentară de triaj. Aceste conversații au contribuit la conturarea modului în care sprijinim comunitatea open source cu Codex Security. În loc să generăm volume mari de constatări speculative, construim un sistem care prioritizează problemele cu grad ridicat de încredere asupra cărora responsabilii de mentenanță pot acționa rapid.

Ca parte a acestei activități, am raportat vulnerabilități critice către o serie de proiecte open-source utilizate pe scară largă, inclusiv OpenSSH⁠(se deschide într-o fereastră nouă), GnuTLS⁠(se deschide într-o fereastră nouă), GOGS⁠(se deschide într-o fereastră nouă), Thorium⁠(se deschide într-o fereastră nouă) libssh, PHP și Chromium și altele. Au fost atribuite paisprezece CVE-uri, cu raportare duală pentru două — am prezentat câteva exemple în Anexă.

Recent, am început integrarea unui grup inițial de responsabili de mentenanță open-source în Codex pentru OSS, programul nostru de sprijinire a ecosistemului cu conturi gratuite ChatGPT Pro și Plus, revizuire de cod și Codex Security. Proiecte precum vLLM au folosit deja Codex Security pentru a găsi și a remedia probleme ca parte a fluxului lor de lucru obișnuit.

Plănuim să extindem programul în următoarele săptămâni, astfel încât mai mulți responsabili de mentenanță să aibă o cale directă către o securitate mai bună, fluxuri de lucru de revizuire mai solide și sprijin pentru munca open-source de care depinde ecosistemul. Dacă ești responsabil de mentenanță pentru un proiect open-source și ești interesat, te rugăm să ne contactezi⁠.

Vom lansa accesul la Codex Security pentru clienții ChatGPT Enterprise, Business și Edu în zilele următoare. Consultă documentația noastră⁠(se deschide într-o fereastră nouă) pentru a afla mai multe despre configurarea Codex Security pentru echipa ta.

• Depășire a memoriei tampon GnuTLS certtool (Off-by-One) — CVE-2025-32990⁠(se deschide într-o fereastră nouă)
• Supracitire memorie tampon GnuTLS în analiza extensiei SCT — CVE-2025-32989⁠(se deschide într-o fereastră nouă)
• Dublă eliberare GnuTLS în exportul SAN otherName — CVE-2025-32988⁠(se deschide într-o fereastră nouă)
• Ocolire 2FA GOGS — CVE-2025-64175⁠(se deschide într-o fereastră nouă)
• Ocolire neautentificată GOGS — CVE-2026-25242⁠(se deschide într-o fereastră nouă)
• Traversarea căii (scriere arbitrară) — download_ephemeral, download_children (agent) — CVE-2025-35430⁠(se deschide într-o fereastră nouă)
• Injectare LDAP (filtre & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(se deschide într-o fereastră nouă)
• DoS neautentificat & abuz de e-mail — resend_email_verification — CVE-2025-35432⁠(se deschide într-o fereastră nouă) , CVE-2025-35436⁠(se deschide într-o fereastră nouă)
• Sesiunea nu a fost reînnoită la schimbarea parolei — User::update_user — CVE-2025-35433⁠(se deschide într-o fereastră nouă)
• Verificare TLS dezactivată — Client Elasticsearch — CVE-2025-35434⁠(se deschide într-o fereastră nouă)
• DoS: împărțire la zero — /api/streams/depth/.../{split} — CVE-2025-35435⁠(se deschide într-o fereastră nouă)
• Depășire memoriei tampon pe stiva gpg-agent prin PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881⁠(se deschide într-o fereastră nouă)
• Depășire a memoriei tampon bazată pe stivă în TPM2 PKDECRYPT pentru RSA și ECC din cauza lipsei validării lungimii textului cifrat — CVE-2026-24882⁠(se deschide într-o fereastră nouă)
• Depășire memoriei tampon pe stiva parametrilor CMS/PKCS7 AES-GCM ASN.1 — CVE-2025-15467⁠(se deschide într-o fereastră nouă)
• PKCS#12 PBMAC1 PBKDF2 depășire a lungimii cheii + bypass MAC — CVE-2025-11187⁠(se deschide într-o fereastră nouă)