Codex Security теперь доступен в формате предварительного исследовательского доступа (research preview)

Сегодня мы представляем Codex Security, нашего агента для безопасности приложений. Он формирует глубокий контекст проекта, чтобы выявлять сложные уязвимости, которые другие агентные инструменты пропускают, предоставляя результаты с высокой степенью уверенности и исправления, действительно повышающие безопасность системы, без шума незначительных багов.

Контекст играет ключевую роль при оценке реальных рисков безопасности, однако большинство ИИ-инструментов безопасности просто отмечают малозначимые результаты и ложноположительные срабатывания, вынуждая команды безопасности тратить значительное время на первичный разбор инцидентов безопасности. В то же время агенты ускоряют разработку программного обеспечения, делая проверку безопасности всё более критичным узким местом.

Codex Security решает обе проблемы. Объединяя агентные рассуждения наших передовых моделей с автоматизированной валидацией, он обеспечивает результаты с высокой степенью уверенности и практические исправления, чтобы команды могли сосредоточиться на действительно важных уязвимостях и быстрее выпускать безопасный код.

Ранее известная как Aardvark⁠, Codex Security в прошлом году началось как закрытое бета-тестирование с небольшой группой клиентов. В ходе ранних внутренних развертываний были выявлены реальная SSRF-уязвимость, критическая уязвимость аутентификации между арендаторами и многие другие проблемы, которые наша команда безопасности устранила за считаные часы. Первые внедрения с внешними тестировщиками помогли нам улучшить то, как пользователи предоставляют релевантный контекст о продукте и переходят от начальной настройки к защите своего кода. Мы также значительно повысили качество наших результатов в ходе бета-версии: сканирования одних и тех же репозиториев с течением времени показывают рост точности, а в одном случае уровень шума снизился на 84% с момента первоначального запуска.  Мы снизили долю результатов проверки с завышенной оценкой серьёзности более чем на 90 %, а частота ложноположительных срабатываний при обнаружении уязвимостей снизилась более чем на 50 % во всех репозиториях. Эти улучшения помогают Codex Security точнее соотносить заявленную степень серьёзности с реальным уровнем риска и снижать лишнюю нагрузку на команды безопасности при первичном разборе инцидентов; мы ожидаем, что по мере дальнейших инвестиций соотношение полезного сигнала к шуму будет и дальше улучшаться.

Начиная с сегодняшнего дня, мы внедряем Codex Security для клиентов ChatGPT Enterprise, Business и Edu через веб-версию Codex с бесплатным использованием в течение следующего месяца.

Codex Security использует передовые модели OpenAI и агент Codex. Это может снизить уровень шума и ускорить устранение уязвимостей, заземляя обнаружение, проверку и исправление уязвимостей в контексте конкретной системы.

1. Создайте контекст системы и редактируемую модель угроз: После настройки сканирования система анализирует ваш репозиторий, чтобы понять релевантную для безопасности структуру системы, и генерирует специфичную для проекта модель угроз, которая может фиксировать, что делает система, чему она доверяет и где она наиболее уязвима. Модели угроз можно редактировать, чтобы агент оставался согласованным с вашей командой.
2. Определяйте приоритеты и проверяйте проблемы: Используя модель угроз в качестве контекста, Codex Security ищет уязвимости и классифицирует результаты на основе ожидаемого реального воздействия на вашу систему. По возможности проводятся стресс-тесты результатов в изолированных средах валидации, чтобы отличить сигнал от шума. Пользователи могут видеть этот анализ в валидированных выводах. Когда Codex Security настроен со средой, адаптированной под ваш проект, можно проверять потенциальные проблемы непосредственно в контексте работающей системы. Такая более глубокая валидация может ещё больше снизить количество ложноположительных срабатываний и позволить создавать рабочие proof-of-concept, предоставляя командам безопасности более убедительные доказательства и более ясный путь к устранению уязвимостей.
3. Исправляйте проблемы с полным системным контекстом: На завершающем этапе Codex Security предлагает исправления для обнаруженных проблем, которые соответствуют назначению системы и её поведению. Это позволяет выпускать исправления, которые могут повысить безопасность, при этом минимизируя регрессии, что делает их более безопасными для проверки и внедрения. Пользователи могут фильтровать результаты, чтобы сосредоточиться на том, что наиболее важно для их команды и имеет наибольшее влияние на безопасность.

Codex Security также может со временем учиться на вашей обратной связи, чтобы улучшать качество своих результатов проверки. Когда вы корректируете критичность обнаружения, он может использовать эту обратную связь, чтобы уточнить модель угроз и повысить точность в последующих запусках по мере того, как лучше понимает, что важно в вашей архитектуре и профиле рисков.

Он разработан для работы в масштабах крупных кодовых баз и выявления наиболее достоверных результатов проверки с исправлениями, которые легко принять. За последние 30 дней Codex Security просканировал более 1,2 миллиона коммитов во внешних репозиториях в нашей бета-кохорте, выявив 792 критических результата проверки и 10 561 результат проверки высокой степени серьёзности. Критические проблемы обнаруживались менее чем в 0,1 % просканированных коммитов, что показывает, что Codex Security способен выявлять проблемы безопасности в больших объёмах кода, сводя к минимуму шум для проверяющих.

Программное обеспечение с открытым исходным кодом составляет основу современных систем, включая наши собственные. Мы используем Codex Security для сканирования репозиториев с открытым исходным кодом, на которые мы опираемся больше всего, и делимся с сопровождающими (maintainers) обнаруженными нами значимыми результатами проверки безопасности, чтобы помочь укрепить эту основу.

В наших беседах с сопровождающими проектов снова и снова звучала одна и та же мысль: проблема не в нехватке сообщений об уязвимостях, а в избытке низкокачественных сообщений. По их словам, нужно меньше ложноположительных срабатываний и более устойчивый способ выявлять реальные проблемы безопасности, не увеличивая нагрузку на первичный разбор инцидентов безопасности. Эти беседы во многом определили, как именно мы поддерживаем сообщество проектов с открытым исходным кодом с помощью Codex Security. Вместо того чтобы генерировать большие объёмы предположительных результатов проверки, мы создаём систему, которая отдаёт приоритет значимым результатам с высокой степенью уверенности, по которым сопровождающие могут быстро принять меры.

В рамках этой работы мы сообщили о критических уязвимостях в ряде широко используемых проектов с открытым исходным кодом, включая OpenSSH⁠(открывается в новом окне), GnuTLS⁠(открывается в новом окне), GOGS⁠(открывается в новом окне), Thorium⁠(открывается в новом окне) libssh, PHP и Chromium, и других. Было присвоено четырнадцать CVE, при этом по двум из них было двойное уведомление —Было присвоено четырнадцать CVE; по двум из них отчёты были поданы независимо — мы привели несколько примеров в Приложении.

Недавно мы начали подключать первую группу сопровождающих проектов с открытым исходным кодом к Codex для OSS — нашей программе поддержки экосистемы, которая включает бесплатный доступ к ChatGPT Pro и Plus, проверку кода и Codex Security. Такие проекты, как vLLM, уже использовали Codex Security, чтобы находить и исправлять проблемы в рамках своего обычного рабочего процесса.

Мы планируем расширить программу в ближайшие недели, чтобы у большего числа сопровождающих был простой путь к повышению уровня безопасности, более эффективным процессам проверки и поддержке работы над проектами с открытым исходным кодом, от которых зависит экосистема. Если вы сопровождаете проект с открытым исходным кодом и вам интересно, пожалуйста, свяжитесь с нами⁠.

В ближайшие дни мы начнем предоставлять доступ к Codex Security клиентам ChatGPT Enterprise, Business и Edu. Ознакомьтесь с нашей документацией⁠(открывается в новом окне), чтобы узнать больше о настройке Codex Security для вашей команды.

• Переполнение буфера кучи (Off-by-One) в GnuTLS certtool — CVE-2025-32990⁠(открывается в новом окне)
• Перечитывание буфера кучи в GnuTLS при разборе расширения SCT — CVE-2025-32989⁠(открывается в новом окне)
• Двойное освобождение памяти в GnuTLS при экспорте otherName SAN — CVE-2025-32988⁠(открывается в новом окне)
• Обход двухфакторной аутентификации (2FA) в GOGS — CVE-2025-64175⁠(открывается в новом окне)
• Обход аутентификации GOGS — CVE-2026-25242⁠(открывается в новом окне)
• Обход пути (произвольная запись файлов) — download_ephemeral, download_children (агент) — CVE-2025-35430⁠(открывается в новом окне)
• LDAP-инъекция (фильтры & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(открывается в новом окне)
• Неаутентифицированная DoS-атака и злоупотребление отправкой почты — resend_email_verification — CVE-2025-35432⁠(открывается в новом окне) , CVE-2025-35436⁠(открывается в новом окне)
• Сессия не обновляется при смене пароля — User::update_user — CVE-2025-35433⁠(открывается в новом окне)
• Отключена проверка TLS — клиент Elasticsearch — CVE-2025-35434⁠(открывается в новом окне)
• DoS: деление на ноль — /api/streams/depth/.../{split} — CVE-2025-35435⁠(открывается в новом окне)
• Переполнение буфера стека в gpg-agent через PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881⁠(открывается в новом окне)
• Переполнение буфера на основе стека в TPM2 PKDECRYPT для RSA и ECC из-за отсутствия проверки длины шифртекста — CVE-2026-24882⁠(открывается в новом окне)
• Переполнение буфера стека в параметрах ASN.1 AES-GCM для CMS/PKCS7 — CVE-2025-15467⁠(открывается в новом окне)
• PKCS#12 PBMAC1 PBKDF2: переполнение keyLength и обход MAC — CVE-2025-11187⁠(открывается в новом окне)