Codex Security je teraz k dispozícii ako výskumná ukážka
Dnes predstavujeme Codex Security, nášho agenta zabezpečenia aplikácií. Buduje hlboký kontext o tvojom projekte, aby identifikoval komplexné zraniteľnosti, ktoré iné agentické nástroje prehliadajú, a prináša zistenia s vyššou mierou istoty spolu s opravami, ktoré zmysluplne zlepšujú bezpečnosť tvojho systému, pričom ťa ušetria šumu z nepodstatných chýb.
Pri hodnotení skutočných bezpečnostných rizík je podstatný kontext, ale väčšina nástrojov na zabezpečenie umelej inteligencie jednoducho označuje zistenia s nízkym dopadom a falošné pozitíva, čím núti bezpečnostné tímy venovať značný čas triáži. Zároveň agenti urýchľujú vývoj softvéru, čím sa bezpečnostná kontrola stáva čoraz kritickejšou prekážkou.
Codex Security rieši obe výzvy. Kombináciou agentického uvažovania z našich prelomových modelov a automatizovanej validácie prináša zistenia s vysokou mierou istoty a realizovateľné opravy, aby sa tímy mohli sústrediť na dôležité zraniteľnosti a rýchlejšie dodávať bezpečný kód.
Codex Security, predtým známy ako Aardvark, štartoval minulý rok ako súkromná beta verzia s malou skupinou zákazníkov. Počas prvých interných nasadení sme objavili skutočnú kritickú zraniteľnosť cross-tenant autentifikácie SSRF a mnoho ďalších problémov, ktoré náš bezpečnostný tím opravil v priebehu niekoľkých hodín. Skoré nasadenia s externými testermi nám pomohli zlepšiť spôsob, akým používatelia poskytujú relevantný kontext produktu a prechádzajú z úvodného nastavenia k zabezpečeniu svojho kódu. Počas beta verzie sme tiež výrazne zlepšili kvalitu našich zistení: skeny v tých istých repozitároch v priebehu času vykazujú rastúcu presnosť, v jednom prípade znížením šumu o 84 % od počiatočného zavedenia. Znížili sme mieru zistení s nadhodnotenou závažnosťou o viac ako 90 % a miera falošne pozitívnych výsledkov pri detekciách klesla o viac ako 50 % vo všetkých repozitároch. Tieto zlepšenia pomáhajú riešeniu Codex Security lepšie zosúladiť nahlásenú závažnosť s rizikom v reálnom svete a znížiť zbytočnú záťaž spojenú s triedením pre bezpečnostné tímy, a očakávame, že pomer signálu k šumu sa bude s ďalšími investíciami naďalej zlepšovať.
Oddnes zavádzame Codex Security pre zákazníkov ChatGPT Enterprise, Business a Edu prostredníctvom webu Codex s bezplatným používaním na nasledujúci mesiac.
Codex Security využíva prelomové modely OpenAI a agenta Codex. Môže to znížiť šum a urýchliť nápravu tým, že objavovanie, overovanie a opravovanie zraniteľností ukotví napojením na fakty v kontexte špecifickom pre daný systém.
- Vytvorí systémový kontext a upraviteľný model hrozieb: Po nakonfigurovaní skenovania analyzuje tvoj repozitár, aby porozumel bezpečnostne relevantnej štruktúre systému, a vygeneruje model hrozieb špecifický pre projekt, ktorý dokáže zachytiť, čo systém robí, čomu dôveruje a akým spôsobom je najviac vystavený hrozbám. Modely hrozieb je možné upravovať, aby agent zostal zosúladený s tvojím tímom.
- Uprednostní a overí problémy: Pomocou modelu hrozieb ako kontextu vyhľadáva zraniteľnosti a kategorizuje zistenia na základe očakávaného vplyvu v reálnom svete v tvojom systéme. Ak je to možné, preveruje zistenia v sandboxových validačných prostrediach, aby odlíšil signál od šumu. Používatelia môžu vidieť túto analýzu v overených zisteniach. Keď je Codex Security nakonfigurovaný s prostredím prispôsobeným tvojmu projektu, dokáže overovať potenciálne problémy priamo v kontexte bežiaceho systému. Takéto hlbšie overovanie môže ešte viac znížiť počet falošných pozitív a umožniť vytváranie funkčných dôkazov konceptu, čím poskytne bezpečnostným tímom silnejšie dôkazy a jasnejšiu cestu k náprave.
- Opraví problémy s úplným systémovým kontextom: Nakoniec Codex Security navrhuje opravy zistených problémov, ktoré sú v súlade so zámerom systému a okolitým správaním. Toto umožňuje záplaty, ktoré môžu zlepšiť bezpečnosť a zároveň minimalizovať regresie, vďaka čomu sa bezpečnejšie kontrolujú a začleňujú. Používatelia môžu filtrovať zistenia, aby sa mohli sústrediť na to, čo je pre ich tím najdôležitejšie a má najväčší vplyv na bezpečnosť.
Codex Security sa tiež môže postupom času učiť z tvojej spätnej väzby, aby zlepšil kvalitu svojich zistení. Keď upravíš kritickosť zistenia, môže túto spätnú väzbu použiť na spresnenie modelu hrozieb a zlepšenie presnosti pri ďalších spusteniach, keď sa učí, na čom záleží v tvojej architektúre a rizikovom profile.
Je navrhnutý na prevádzku vo veľkom rozsahu a na zobrazovanie nálezov s najvyššou mierou istoty s ľahko prijateľnými záplatami. Za posledných 30 dní Codex Security naskenoval viac ako 1,2 milióna commitov naprieč externými repozitármi v našej beta kohorte, a identifikoval 792 kritických zistení a 10 561 zistení s vysokou závažnosťou. Kritické problémy sa objavili v menej ako 0.1% skenovaných commitov, čo ukazuje, že systém dokáže identifikovať problémy s dopadom na bezpečnosť vo veľkých objemoch kódu a zároveň minimalizovať šum pre kontrolórov.
„Spoločnosť NETGEAR, zameraná na bezpečnosť produktov, s nadšením vstúpila do programu včasného prístupu, v ktorom výsledky prekonali očakávania. Codex Security sa bez námahy integroval do nášho robustného prostredia pre vývoj bezpečnosti, čím posilnil tempo a hĺbku našich procesov kontroly. Jeho zistenia boli pôsobivo jasné a komplexné. Často vyvolávali dojem, že popri nás pracoval skúsený výskumník bezpečnosti produktov.“
Softvér s otvoreným zdrojovým kódom tvorí základ moderných systémov vrátane našich vlastných. Codex Security používame na skenovanie open-source repozitárov, na ktoré sa najviac spoliehame, a zistenia s vysokým dopadom v oblasti bezpečnosti, ktoré identifikujeme, zdieľame so správcami, aby sme pomohli posilniť tento základ.
V našich rozhovoroch so správcami sa objavila konzistentná téma: problémom nie je nedostatok hlásení o zraniteľnostiach, ale príliš veľa nekvalitných. Správcovia nám povedali, že potrebujú menej falošných pozitív a udržateľnejší spôsob, ako odhaliť skutočné problémy s bezpečnosťou bez vytvárania dodatočnej záťaže pri triedení. Tieto rozhovory pomohli formovať spôsob, akým podporujeme open-source komunitu pomocou Codex Security. Namiesto generovania veľkých objemov špekulatívnych zistení budujeme systém, ktorý uprednostňuje problémy s vysokou mierou istoty, na ktoré môžu správcovia rýchlo reagovať.
V rámci tejto práce sme nahlásili kritické zraniteľnosti viacerým široko používaným open-source projektom vrátane OpenSSH(otvorí sa v novom okne), GnuTLS(otvorí sa v novom okne), GOGS(otvorí sa v novom okne), Thorium(otvorí sa v novom okne) libssh, PHP a Chromium a ďalším. Bolo pridelených štrnásť CVE s dvojitým nahlásením pri dvoch. V prílohe sme uviedli niekoľko príkladov.
Nedávno sme začali zapájať prvú skupinu správcov open-source projektov do Codexu pre OSS, nášho programu na podporu ekosystému prostredníctvom bezplatných účtov ChatGPT Pro a Plus, kontroly kódu a Codex Security. Projekty ako vLLM už použili Codex Security na vyhľadanie a opravu problémov ako súčasť svojho bežného pracovného postupu.
Plánujeme v nasledujúcich týždňoch rozšíriť program, aby viac správcov malo priamu cestu k lepšej bezpečnosti, silnejším pracovným postupom kontroly a podpore pre open-source prácu, od ktorej je ekosystém závislý. Ak si správcom open-source projektu a máš záujem, prosím, kontaktuj nás.
V nasledujúcich dňoch budeme sprístupňovať prístup k Codex Security zákazníkom ChatGPT Enterprise, Business a Edu. Pozri si našu dokumentáciu(otvorí sa v novom okne) a nauč sa, ako nastaviť Codex Security pre svoj tím.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-Onej) – CVE-2025-32990(otvorí sa v novom okne)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing – CVE-2025-32989(otvorí sa v novom okne)
- GnuTLS Double-Free in otherName SAN Export – CVE-2025-32988(otvorí sa v novom okne)
- 2FA Bypass GOGS – CVE-2025-64175(otvorí sa v novom okne)
- Unauth bypass GOGS – CVE-2026-25242(otvorí sa v novom okne)
- Path traversal (arbitrary write) 2 download_ephemeral, download_children (agent) — CVE-2025-35430(otvorí sa v novom okne)
- LDAP injection (filters & DN) – LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(otvorí sa v novom okne)
- Unauthenticated DoS & mail abuse – resend_email_verification – CVE-2025-35432(otvorí sa v novom okne) , CVE-2025-35436(otvorí sa v novom okne)
- Session not rotated on password change – User::update_user — CVE-2025-35433(otvorí sa v novom okne)
- Disabled TLS verification – Elasticsearch client – CVE-2025-35434(otvorí sa v novom okne)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(otvorí sa v novom okne)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) – CVE-2026-24881(otvorí sa v novom okne)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation – CVE-2026-24882(otvorí sa v novom okne)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow – CVE-2025-15467(otvorí sa v novom okne)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass – CVE-2025-11187(otvorí sa v novom okne)
