Codex Security: hadda ku jira horu-eegis cilmi-baaris

Maanta waxaan soo bandhigaynaa Codex Security, oo ah wakiilka amniga codsiyadayada. Wuxuu dhisaa faham qoto dheer oo ku saabsan mashruucaaga si uu u aqoonsado nuglaanshooyin adag oo ay seegaan qalabka kale ee wakiil-ku-saleysan, isaga oo soo bandhigaya helitaanno kalsooni sare leh iyo sixitaanno si dhab ah u hagaajiya amniga nidaamkaaga isla markaana kaa badbaadinaya buuqa ciladaha aan muhiimka ahayn.

Macnaha guud waa lama huraan marka la qiimeynayo khataraha amni ee dhabta ah, balse inta badan qalabka amniga AI-ga waxay si fudud u calaamadeeyaan helitaanno saameyn hoose leh iyo been-abuur togan, taas oo ku khasabta kooxaha amniga inay waqti badan ku bixiyaan kala soocid. Isla waqtigaas, wakiilladu waxay dedejinayaan horumarinta software-ka, taas oo ka dhigaysa dib-u-eegista amniga caqabad sii kordheysa oo muhiim ah. Codex Security wuxuu wajahayaa labadaas caqabadood. Isaga oo isku daraya caqliyeynta wakiil-ku-saleysan ee noocyadeenna ugu casriyeysan iyo xaqiijin otomaatig ah, wuxuu bixiyaa helitaanno kalsooni sare leh iyo sixitaanno la fulin karo si kooxuhu diiradda u saaraan nuglaanshooyinka muhiimka ah oo ay u soo saaraan koodh ammaan ah si ka dhakhso badan.

Hore loogu yiqiin Aardvark⁠, Codex Security wuxuu sannadkii hore ku bilaabmay beta gaar ah oo lala yeeshay koox yar oo macaamiil ah. Hawlgelinadii gudaha ee hore, wuxuu soo saaray SSRF dhab ah, nuglaansho xaqiijin oo muhiim ah oo u dhexaysa kiraysteyaal kala duwan, iyo arrimo kale oo badan oo kooxda amnigayagu saacado gudahood ku xallisay. Hawlgelinadii hore ee tijaabiyeyaasha dibadda waxay naga caawiyeen inaan hagaajino sida isticmaalayaashu u bixiyaan macnaha badeecadeed ee khuseeya ugana gudbaan isbarasho una gudbaan sugidda koodhkooda. Waxaan sidoo kale si weyn u hagaajinnay tayada helitaannadeenna muddadii beta-da: baaritaanno lagu sameeyay isla keydka koodhka muddo ka dib ayaa muujinaya saxnaan sii kordheysa, iyadoo hal xaalad buuqa lagu dhimay 84% tan iyo bilaabistii hore. Waxaan hoos u dhignay heerka helitaannada leh darajo halis oo si xad dhaaf ah loo sheegay in ka badan 90%, halka heerarka been-abuur togan ee ogaanshuhuna ay hoos u dhaceen in ka badan 50% dhammaan keydka koodhka. Hagaajinnadani waxay ka caawinayaan Codex Security inuu si fiican ula jaanqaado darajada halista la sheegay iyo khatarta dhabta ah ee dunida, isla markaana yareeyo culayska kala soocidda aan loo baahnayn ee kooxaha amniga, waxaana filaynaa in saamiga calaamad-ilaa-buuq uu sii wanaagsanaado.

Laga bilaabo maanta, Codex Security waxaa lagu soo saaraya horu-eegis cilmi-baaris ah macaamiisha ChatGPT Pro, Enterprise, Business, iyo Edu iyada oo loo marayo Codex web, iyadoo isticmaalka bilaashka ahi soconayo bisha soo socota.

Codex Security wuxuu adeegsadaa noocyada ugu casrisan ee OpenAI iyo wakiilka Codex. Wuxuu yarayn karaa buuqa oo dedejin karaa sixitaanka isaga oo ku salaynaya ogaanshaha nuglaanshaha, xaqiijinta, iyo balastaraynta macnaha gaarka ah ee nidaamka.

1. Dhis macnaha nidaamka oo samee nooc hanjabaad oo wax laga beddeli karo: Ka dib qaabeynta baaritaan, wuxuu falanqeeyaa keydka koodhkaaga si uu u fahmo qaab-dhismeedka nidaamka ee amniga la xiriira wuxuuna abuuraa nooc hanjabaad oo mashruuc-gaar ah oo qabsan kara waxa nidaamku sameeyo, waxa uu ku kalsoon yahay, iyo halka uu ugu nugul yahay. Noocyada hanjabaadda waa la tafatiri karaa si wakiilku ula jaanqaado kooxdaada.
2. Mudnaan sii oo xaqiiji arrimaha: Isaga oo adeegsanaya nooca hanjabaadda sida macnaha guud, wuxuu raadiyaa nuglaanshooyin wuxuuna u kala saaraa helitaannada iyadoo lagu salaynayo saameynta la filayo ee dhabta ah ee nidaamkaaga. Meesha ay suurtagal tahay, wuxuu ku tijaabiyaa helitaannada deegaanno xaqiijin oo go'doonsan si loo kala saaro calaamadda iyo buuqa. Isticmaalayaashu waxay falanqayntan ka arki karaan helitaannada la xaqiijiyay. Marka Codex Security lagu habeeyo deegaan ku habboon mashruucaaga, wuxuu si toos ah u xaqiijin karaa arrimaha suuragalka ah isagoo ku jira macnaha nidaamka shaqaynaya. Xaqiijintaas qotada dheer waxay sii yarayn kartaa been-abuurka togan waxayna awood siin kartaa samaynta tusaalooyin caddayn shaqaynaya, taas oo siinaysa kooxaha amniga caddeyn xooggan iyo waddo ka cad sixitaanka.
3. Ku balastaree arrimaha adigoo wata macnaha buuxa ee nidaamka: Ugu dambayn, Codex Security wuxuu soo jeediyaa sixitaanno ku habboon arrimaha la ogaaday oo la jaanqaadaya ujeeddada nidaamka iyo habdhaqanka ku xeeran. Tani waxay suurtagelinaysaa balastarro hagaajin kara amniga iyagoo yareynaya dib-u-dhacayaasha, kana dhigaya kuwo ammaan badan in dib loo eego lana geliyo. Isticmaalayaashu way shaandhayn karaan helitaannada si ay diiradda ugu sii hayaan waxa ugu muhiimsan kooxdooda oo leh saameynta amni ee ugu sarreysa.

Codex Security sidoo kale wuu ka baran karaa jawaab-celintaada waqti ka dib si uu u hagaajiyo tayada helitaannadiisa. Marka aad wax ka beddesho darnaanta helitaan, wuxuu adeegsan karaa jawaab-celintaas si uu u sifeeyo nooca hanjabaadda oo uu u hagaajiyo saxnaanta socodka xiga, maadaama uu baranayo waxa muhiimka ku ah qaab-dhismeedkaaga iyo heerka khatartaada.

Waxaa loo naqshadeeyay inuu ku shaqeeyo baaxad weyn oo uu soo bandhigo helitaannada kalsoonida ugu sarreysa leh oo wata balastarro si fudud loo aqbali karo. 30-kii maalmood ee u dambeeyay, Codex Security wuxuu baaray in ka badan 1.2 milyan oo commits ah oo ku kala jiray keydka koodhka dibadda ee kooxda beta-dayada, isaga oo aqoonsaday 792 helitaan oo muhiim ah iyo 10,561 helitaan oo darnaan sare leh. Arrimaha muhiimka ah waxay ka muuqdeen wax ka yar 0.1% commits-kii la baaray, taas oo muujinaysa in nidaamku aqoonsan karo arrimaha saameeya amniga ee ku jira mug weyn oo koodh ah isaga oo yareynaya buuqa gaadha dib-u-eegayaasha.

Software-ka il-furani wuxuu aasaas u yahay nidaamyada casriga ah, oo ay ku jiraan kuweenna. Waxaan adeegsanaynay Codex Security si aan u baarno keydka koodhka il-furan ee aan sida ugu badan ugu tiirsannahay, annagoo la wadaagayna ilaaliyeyaasha helitaannada amni ee saameynta sare leh ee aan aqoonsanno si aan u xoojino aasaaskaas.

Wadahadalladayada lala yeeshay ilaaliyeyaasha, hal mawduuc oo joogto ah ayaa soo baxay: caqabadda ma aha yaraanta warbixinada nuglaanshaha, balse waa badnaanta kuwa tayadoodu liidato. Ilaaliyeyaashu waxay noo sheegeen inay u baahan yihiin been-abuur togan oo yar iyo hab waara oo lagu soo saaro arrimaha amniga ee dhabta ah iyada oo aan la abuurin culays dheeraad ah oo kala soocid ah. Wadahadalladani waxay qaabeeyeen sida aan ugu taageerayno bulshada il-furan Codex Security. Halkii aan ka abuuri lahayn tiro badan oo helitaanno mala-awaal ah, waxaan dhisaynaa nidaam mudnaan siinaya arrimaha kalsoonida sare leh ee ilaaliyeyaashu si degdeg ah uga hawl geli karaan.

Qayb ka mid ah shaqadan, waxaan u gudbinnay nuglaanshooyin muhiim ah tiro mashruucyo il-furan oo si ballaaran loo isticmaalo ah oo ay ku jiraan OpenSSH⁠(ku furmaa daaqad cusub), GnuTLS⁠(ku furmaa daaqad cusub), GOGS⁠(ku furmaa daaqad cusub), Thorium⁠(ku furmaa daaqad cusub), libssh, PHP, iyo Chromium, iyo kuwo kale. Afar iyo toban CVE ayaa loo qoondeeyay, iyadoo laba ka mid ah lagu sameeyay warbixin laba-geesood ah — waxaan la wadaagnay tusaalooyin qaar Lifaaqa.

Dhawaan waxaan bilownay gelinta kooxdii ugu horreysay ee ilaaliyeyaasha il-furan gudaha Codex for OSS, oo ah barnaamijkeenna lagu taageerayo nidaamka deegaanka iyadoo la siinayo akoonno ChatGPT Pro iyo Plus oo bilaash ah, dib-u-eegis koodh, iyo Codex Security. Mashruucyo sida vLLM ayaa durba isticmaalay Codex Security si ay u helaan una balastareeyaan arrimo iyagoo qayb ka ah habsocodkooda caadiga ah.

Waxaan qorshaynaynaa inaan ballaarinno barnaamijka toddobaadyada soo socda si ilaaliyeyaal badan ay u helaan waddo toos ah oo ay ku gaaraan amni wanaagsan, habsocodyo dib-u-eegis oo xooggan, iyo taageero shaqada il-furan ee nidaamka deegaanka uu ku tiirsan yahay. Haddii aad tahay ilaaliye mashruuc il-furan ah oo aad xiisaynayso, fadlan nala soo xiriir⁠.

Waxaan maalmaha soo socda u fidin doonnaa gelitaanka Codex Security macaamiisha ChatGPT Enterprise, Business, iyo Edu. Eeg dukumeentiyadayada⁠(ku furmaa daaqad cusub) si aad wax badan uga barato dejinta Codex Security ee kooxdaada.

Tusaalooyinka nuglaanshooyinka OSS ee saameynta sare leh ee ay ogaatay Codex Security:

• GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990⁠(ku furmaa daaqad cusub)
• GnuTLS Heap Buffer Overread gudaha SCT Extension Parsing — CVE-2025-32989⁠(ku furmaa daaqad cusub)
• GnuTLS Double-Free gudaha otherName SAN Export — CVE-2025-32988⁠(ku furmaa daaqad cusub)
• Ka gudbid 2FA ee GOGS — CVE-2025-64175⁠(ku furmaa daaqad cusub)
• Ka gudbid unauth ee GOGS — CVE-2026-25242⁠(ku furmaa daaqad cusub)
• Path traversal (qoris aan xadidnayn) — download_ephemeral, download_children (agent) — CVE-2025-35430⁠(ku furmaa daaqad cusub)
• LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(ku furmaa daaqad cusub)
• DoS aan la xaqiijin & ku xadgudub boosto — resend_email_verification — CVE-2025-35432⁠(ku furmaa daaqad cusub) , CVE-2025-35436⁠(ku furmaa daaqad cusub)
• Session lama rogto marka erayga sirta ah la beddelo — User::update_user — CVE-2025-35433⁠(ku furmaa daaqad cusub)
• Xaqiijinta TLS oo naafo ah — macmiilka Elasticsearch — CVE-2025-35434⁠(ku furmaa daaqad cusub)
• DoS: qaybinta eber — /api/streams/depth/.../{split} — CVE-2025-35435⁠(ku furmaa daaqad cusub)
• gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881⁠(ku furmaa daaqad cusub)
• Stack-based buffer overflow gudaha TPM2 PKDECRYPT ee RSA iyo ECC sabab u ah maqnaanshaha xaqiijinta dhererka ciphertext — CVE-2026-24882⁠(ku furmaa daaqad cusub)
• CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467⁠(ku furmaa daaqad cusub)
• PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187⁠(ku furmaa daaqad cusub)