Codex Security je zdaj na voljo v okviru raziskovalnega predogleda
Danes predstavljamo Codex Security, našega agenta za varnost aplikacij. Vzpostavi poglobljen kontekst o vašem projektu, da prepozna kompleksne ranljivosti, ki jih druga agentska orodja spregledajo, ter izpostavi ugotovitve z višjo stopnjo zaupanja in popravke, ki smiselno izboljšajo varnost vašega sistema, hkrati pa vas razbremenijo šuma, ki ga povzročajo nepomembni hrošči.
Kontekst je ključen pri ocenjevanju dejanskih varnostnih tveganj, vendar večina orodij za varnost, ki jih poganja umetna inteligenca, zgolj označi ugotovitve z majhnim vplivom in lažno pozitivne rezultate, zato morajo varnostne ekipe veliko časa nameniti triaži. Istočasno pa agenti pospešujejo razvoj programske opreme, zaradi česar varnostni pregled vse bolj postaja kritično ozko grlo.
Varnost Codex obravnava oba izziva. Z združevanjem agentskega sklepanja naših naprednih modelov in avtomatizirane validacije zagotavlja ugotovitve z visoko stopnjo zaupanja ter uporabne popravke, tako da se ekipe lahko osredotočijo na ranljivosti, ki so res pomembne, in hitreje dostavijo varno kodo.
Codex Security, prej znan pod imenom Aardvark, se je lani začel kot zasebna različica beta z majhno skupino strank. V zgodnjih internih uvedbah je odkril dejansko SSRF-ranljivost, kritično ranljivost pri avtentikaciji med najemniki ter številne druge težave, ki jih je naša varnostna ekipa odpravila v nekaj urah. Zgodnje uvedbe pri zunanjih preizkuševalcih so nam pomagale izboljšati način, kako uporabniki zagotavljajo ustrezen kontekst produkta in kako preidejo od uvajanja do varovanja svoje kode. V času beta različice smo tudi bistveno izboljšali kakovost ugotovitev: pregledi istih repozitorijev skozi čas kažejo večjo natančnost, v enem primeru pa se je šum od začetne uvedbe zmanjšal za 84 %. Stopnjo ugotovitev s precenjeno resnostjo smo zmanjšali za več kot 90 %, stopnje lažno pozitivnih zaznav pa so se v vseh repozitorijih znižale za več kot 50 %. Te izboljšave Codex Security pomagajo bolje uskladiti poročano resnost z dejanskim tveganjem v resničnem svetu ter zmanjšati nepotrebno breme triaže za varnostne ekipe, pri čemer pričakujemo, da se bo razmerje med signalom in šumom z nadaljnjimi vlaganji še izboljševalo.
Z današnjim dnem se Codex Security uvaja za stranke ChatGPT Enterprise, Business in Edu prek spleta Codex, v naslednjem mesecu pa bo uporaba brezplačna.
Codex Security uporablja OpenAI-jeve napredne modele in agenta Codex. Šum lahko zmanjša in pospeši odpravljanje težav tako, da odkrivanje ranljivosti, validacijo in odpravljanje pomanjkljivosti opre na kontekst, specifičen za posamezni sistem.
- Vzpostavitev konteksta sistema in izdelava modela groženj, ki ga je mogoče urejati: po konfiguraciji pregleda analizira vaš repozitorij, da razume varnostno pomembno strukturo sistema, in ustvari model groženj, specifičen za projekt, ki lahko zajame, kaj sistem počne, čemu zaupa in kje je najbolj izpostavljen. Modele groženj je mogoče urejati, da agent ostane usklajen z vašo ekipo.
- Določite prednost in potrdite težave: Če kot kontekst uporabite model groženj, išče ranljivosti in ugotovitve kategorizira glede na pričakovani vpliv v resničnem svetu v vašem sistemu. Kjer je mogoče, preizkusi ugotovitve v okoljih peskovnika za potrjevanje, da razloči signal od šuma. Uporabniki si lahko to analizo ogledajo v preverjenih ugotovitvah. Ko je Codex Security konfiguriran z okoljem, prilagojenim vašemu projektu, lahko validira morebitne težave neposredno v kontekstu delujočega sistema. Ta poglobljena validacija lahko še dodatno zmanjša lažno pozitivne rezultate in omogoči ustvarjanje delujočih dokazov koncepta, s čimer varnostnim ekipam zagotovi močnejše dokaze in jasnejšo pot do odprave.
- Odpravite težave s celotnim kontekstom sistema: Nazadnje Codex Security predlaga popravke za odkrite težave, ki so usklajeni z namenom sistema in okoliškim vedenjem. To omogoča popravke, ki lahko izboljšajo varnost, hkrati pa zmanjšajo regresije, zaradi česar jih je varneje pregledati in uvesti. Uporabniki lahko filtrirajo ugotovitve, da ostanejo osredotočeni na tisto, kar je najpomembnejše za njihovo ekipo in ima največji vpliv na varnost.
Codex Security se lahko sčasoma uči tudi iz vaših povratnih informacij, da izboljša kakovost svojih ugotovitev. Ko prilagodite kritičnost ugotovitve, lahko te povratne informacije uporabi za izpopolnjevanje modela groženj in izboljšanje natančnosti pri naslednjih zagonih, saj se uči, kaj je pomembno v vaši arhitekturi in profilu tveganja.
Zasnovan je za delovanje v velikem obsegu in izpostavljanje ugotovitev z najvišjo stopnjo zaupanja s popravki, ki jih je preprosto sprejeti. V zadnjih 30 dneh je Codex Security pregledal več kot 1,2 milijona uveljavitev kode v zunanjih repozitorijih v naši beta kohorti ter identificiral 792 kritičnih ugotovitev in 10.561 ugotovitev visoke resnosti. Kritične težave so se pojavile pri manj kot 0.1% pregledanih uveljavitev kode, kar kaže, da lahko sistem prepozna varnostno pomembne težave v velikih količinah kode, hkrati pa zmanjša šum za pregledovalce.
»Kot podjetje, ki je izrazito osredotočeno na varnost produktov, smo se pri družbi NETGEAR z veseljem pridružili programu zgodnjega dostopa, rezultati pa so presegli naša pričakovanja. Codex Security se je brezhibno vključil v naše robustno razvojno okolje za varnost in okrepil hitrost ter poglobljenost naših postopkov pregleda. Njegove ugotovitve so bile izjemno jasne in celovite, pogosto pa smo imeli občutek, kot da ob nas dela izkušen raziskovalec varnosti produktov.«
Odprtokodna programska oprema je temelj sodobnih sistemov, vključno z našimi. Codex Security uporabljamo za pregledovanje odprtokodnih repozitorijev, na katere se najbolj zanašamo, ter z vzdrževalci delimo varnostne ugotovitve z velikim vplivom, ki jih odkrijemo, da bi pomagali okrepiti te temelje.
V naših pogovorih z vzdrževalci se je izoblikovala dosledna tema: izziv ni pomanjkanje poročil o ranljivostih, temveč preveliko število nekakovostnih poročil. Vzdrževalci so nam povedali, da potrebujejo manj lažno pozitivnih rezultatov in bolj trajnosten način za odkrivanje resničnih varnostnih težav, ne da bi ustvarili dodatno breme pri triaži. Ti pogovori so pomagali oblikovati naš pristop k podpori odprtokodne skupnosti z uporabo Codex Security. Namesto ustvarjanja velikih količin špekulativnih ugotovitev gradimo sistem, ki daje prednost težavam z visoko stopnjo zaupanja, ki jih lahko vzdrževalci hitro rešijo.
V okviru tega dela smo številnim široko uporabljenim odprtokodnim projektom, vključno z OpenSSH(odpre se v novem oknu), GnuTLS(odpre se v novem oknu), GOGS(odpre se v novem oknu), Thorium(odpre se v novem oknu) libssh, PHP in Chromium, ter drugim, prijavili kritične ranljivosti. Dodeljenih je bilo štirinajst CVE-jev, pri čemer sta bila dva prijavljena dvojno — nekaj primerov smo delili v dodatku.
Nedavno smo začeli uvajati začetno skupino vzdrževalcev odprtokodnih projektov v Codex za OSS, naš program za podporo ekosistemu z brezplačnimi računi ChatGPT Pro in Plus, pregledom kode ter Codex Security. Projekti, kot je vLLM, so že uporabljali Varnost Codex za iskanje in odpravljanje težav kot del svojega običajnega delovnega toka.
V prihodnjih tednih načrtujemo razširitev programa, da bo več vzdrževalcev imelo neposredno pot do boljše varnosti, učinkovitejših delovnih tokov pregledovanja in podpore za odprtokodno delo, od katerega je odvisen ekosistem. Če ste vzdrževalec odprtokodne programske opreme in vas zanima, prosimo, stopite v stik.
V prihodnjih dneh bomo uvajali dostop do Codex Security za stranke ChatGPT Enterprise, Business in Edu. Oglejte si našo dokumentacijo(odpre se v novem oknu), da izveste več o nastavitvi Codex Security za svojo ekipo.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(odpre se v novem oknu)
- Prekoračeno branje medpomnilnika kopice v GnuTLS pri razčlenjevanju razširitve SCT — CVE-2025-32989(odpre se v novem oknu)
- GnuTLS Double-Free pri izvozu otherName SAN — CVE-2025-32988(odpre se v novem oknu)
- 2FA Bypass GOGS — CVE-2025-64175(odpre se v novem oknu)
- Neavtoriziran obvod GOGS — CVE-2026-25242(odpre se v novem oknu)
- Prečkanje poti (poljubno pisanje) — download_ephemeral, download_children (agent) — CVE-2025-35430(odpre se v novem oknu)
- Vbrizgavanje LDAP (filtri & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(odpre se v novem oknu)
- Neavtenticiran DoS & zloraba e-pošte — resend_email_verification — CVE-2025-35432(odpre se v novem oknu) , CVE-2025-35436(odpre se v novem oknu)
- Seja ni zamenjana ob spremembi gesla — User::update_user — CVE-2025-35433(odpre se v novem oknu)
- Onemogočeno preverjanje TLS — odjemalec Elasticsearch — CVE-2025-35434(odpre se v novem oknu)
- DoS: deljenje z nič — /api/streams/depth/.../{split} — CVE-2025-35435(odpre se v novem oknu)
- preliv medpomnilnika sklada v gpg-agent prek PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(odpre se v novem oknu)
- Preliv medpomnilnika na skladu v TPM2 PKDECRYPT za RSA in ECC zaradi manjkajočega preverjanja dolžine šifriranega besedila — CVE-2026-24882(odpre se v novem oknu)
- CMS/PKCS7 AES-GCM ASN.1 prelivanje medpomnilnika sklada parametrov — CVE-2025-15467(odpre se v novem oknu)
- PKCS#12 PBMAC1 PBKDF2 keyLength prekoračitev + obvod MAC — CVE-2025-11187(odpre se v novem oknu)
