Codex Security tani është i disponueshëm si një version paraprak kërkimor
Sot, po prezantojmë Codex Security, agjentin tonë të sigurisë së aplikacionit. Ai ndërton kontekst të thellë rreth projektit tënd për të identifikuar dobësi komplekse që mjetet e tjera agjentike nuk i kapin, duke nxjerrë në pah gjetje me besueshmëri më të lartë me rregullime që përmirësojnë në mënyrë domethënëse sigurinë e sistemit tënd, ndërsa të kursen nga zhurma e defekteve të parëndësishme.
Konteksti është thelbësor kur vlerësohen rreziqet reale të sigurisë, por shumica e mjeteve të sigurisë së AI thjesht sinjalizojnë gjetje me ndikim të ulët dhe falso-pozitive, duke i detyruar ekipet e sigurisë të shpenzojnë kohë të konsiderueshme për triazh. Në të njëjtën kohë, agjentët po përshpejtojnë zhvillimin e softuerit, duke e bërë rishikimin e sigurisë një pengesë gjithnjë e më kritike.
Codex Security i adreson të dyja sfidat. Duke kombinuar arsyetimin agjentik nga modelet tona avangardë me validim të automatizuar, ofrohen gjetje të besueshme dhe rregullime të zbatueshme, që ekipet të përqendrohen te dobësitë e rëndësishme dhe të dorëzojnë kod të sigurt më shpejt.
I njohur më parë si Aardvark, Codex Security filloi vitin e kaluar si një version beta privat me një grup të vogël klientësh. Në implementimet e brendshme paraprake, ai zbuloi një SSRF të vërtetë, një dobësi kritike të autentikimit cros-tenant dhe shumë çështje të tjera, të cilat ekipi ynë i sigurisë i korrigjoi brenda orësh. Implementimet paraprake me testues të jashtëm na ndihmuan të përmirësonim mënyrën se si përdoruesit ofrojnë kontekst të rëndësishëm të produktit dhe të kalojnë nga onboarding te sigurimi i kodit të tyre. Ne gjithashtu përmirësuam ndjeshëm cilësinë e gjetjeve tona gjatë betës: skanimet në të njëjtat depo me kalimin e kohës tregojnë saktësi në rritje, në një rast duke ulur zhurmën me 84% që nga shpërndarja fillestare. Kemi ulur normën e gjetjeve me ashpërsi të raportuar tepër me më shumë se 90%, dhe normat e rezultateve falso-pozitive në zbulime kanë rënë me më shumë se 50% në të gjitha depot. Këto përmirësime e ndihmojnë Codex Security të përputhë më mirë ashpërsinë e raportuar me rrezikun në botën reale dhe të reduktojë ngarkesën e panevojshme të triazhimit për ekipet e sigurisë, dhe presim që raporti sinjal-zhurmë të vazhdojë të përmirësohet me investime të mëtejshme.
Duke filluar nga sot, Codex Security po e qarkullojmë për klientët e ChatGPT Enterprise, Business dhe Edu përmes Codex web me përdorim falas për muajin e ardhshëm.
Codex Security shfrytëzon modelet avangardë të OpenAI dhe agjentin Codex. Mund të reduktojë zhurmën dhe të përshpejtojë korrigjimin duke e bazuar zbulimin, verifikimin dhe korrigjimin e dobësive në mbështetje në burime në kontekst specifik të sistemit.
- Ndërto kontekstin e sistemit dhe krijo një model kërcënimi të redaktueshëm: Pas konfigurimit të një skanimi, ai analizon depon tënde për të kuptuar strukturën e sistemit që lidhet me sigurinë dhe gjeneron një model kërcënimi specifik për projektin që mund të kapë çfarë bën sistemi, çfarë i beson dhe ku është më i ekspozuar. Modelet e kërcënimeve mund të redaktohen për ta mbajtur agjentin të orientuar me ekipin tënd.
- Prioritizo dhe verifiko incidentet: Duke përdorur modelin e kërcënimit si kontekst, ai kërkon dobësi dhe i kategorizon gjetjet bazuar në ndikimin e pritur në botën reale në sistemin tënd. Kur është e mundur, ai i vë në provë gjetjet në mjedise verifikimi të izoluara dhe të kufizuara për të dalluar sinjalin nga zhurma. Përdoruesit mund ta shohin këtë analizë te gjetjet e validuara. Kur Codex Security konfigurohet me një mjedis të përshtatur për projektin tënd, ai mund të verifikojë probleme të mundshme drejtpërdrejt në kontekstin e sistemit në ekzekutim. Ai validim më i thellë mund të reduktojë edhe më tej rastet falso-pozitive dhe të mundësojë krijimin e provave funksionale konceptuale, duke u dhënë ekipeve të sigurisë prova më të forta dhe një rrugë më të qartë drejt korrigjimit.
- Rregullo çështjet me kontekst të plotë të sistemit: Më në fund, Codex Security propozon rregullime për çështjet e zbuluara që përputhen me qëllimin e sistemit dhe sjelljen përreth. Kjo mundëson korrigjime që mund të përmirësojnë sigurinë duke minimizuar regresionet, duke i bërë ato më të sigurta për t’u rishikuar dhe për t’u integruar. Përdoruesit mund t’i filtrojnë gjetjet që të qëndrojnë të përqendruar në atë që ka më shumë rëndësi për ekipin e tyre dhe ka ndikimin më të lartë në siguri.
Codex Security mund të mësojë gjithashtu nga reagimet tuaja me kalimin e kohës për të përmirësuar cilësinë e gjetjeve të tij. Kur rregulloni kritikalitetin e një gjetjeje, mund ta përdorni atë reagim për të rafinuar modelin e kërcënimeve dhe për të përmirësuar saktësinë në ekzekutimet pasuese, ndërsa mësoni se çfarë ka rëndësi në arkitekturën dhe masat tuaja ndaj rrezikut.
Është projektuar të funksionojë në shkallë të gjerë dhe të nxjerrë në pah gjetjet me besueshmëri të lartë me korrigjime të lehta për t'u pranuar. Gjatë 30 ditëve të fundit, Codex Security skanoi më shumë se 1,2 milion commit-e nëpër depo të jashtme në grupin tonë beta, duke identifikuar 792 gjetje kritike dhe 10 561 gjetje me ashpërsi të lartë. Çështje kritike u shfaqën në më pak se 0,1% të commit-eve të skanuara, duke treguar se sistemi mund të identifikojë çështje që ndikojnë në siguri në vëllime të mëdha kodi, ndërsa minimizon zhurmën për shqyrtuesit.
“Si një kompani e përqendruar te siguria e produkteve, NETGEAR e kishte për kënaqësi t’i bashkohej programit të aksesit paraprak dhe rezultatet tejkaluan pritshmëritë.” Codex Security u integrua më së miri në mjedisin tonë të fuqishëm të zhvillimit të sigurisë, duke përshpejtuar ritmin dhe thelluar proceset tona të shqyrtimit. Rezultatet ishin jashtëzakonisht të qarta dhe shteruese, shpesh duke dhënë përshtypjen se një studiues me përvojë i sigurisë së produkteve po punonte krah nesh.”
Softueri me burim të hapur përbën themelin e sistemeve moderne, duke përfshirë edhe tonat. Kemi përdorur Codex Security për të skanuar depot me burim të hapur te të cilat mbështetemi më shumë, duke ndarë me mirëmbajtësit gjetjet e sigurisë me ndikim të lartë që identifikojmë për të ndihmuar në forcimin e atij themeli.
Në bisedat tona me mirëmbajtësit, u has një tematikë konsistente: sfida nuk qëndron te mungesa e raporteve të dobësive, por te numri i tepërt i atyre me cilësi të ulët. Mirëmbajtësit na thanë se u duhen më pak raste falso-pozitive dhe një mënyrë më e qëndrueshme për të nxjerrë në pah incidentet reale të sigurisë pa krijuar barrë shtesë triazhi. Këto biseda ndihmuan në formësimin e mënyrës se si po e mbështesim komunitetin me burim të hapur me Codex Security. Në vend që të gjenerojmë vëllime të mëdha gjetjesh spekulative, po ndërtojmë një sistem që u jep përparësi çështjeve me besueshmëri të lartë, mbi të cilat mirëmbajtësit mund të veprojnë shpejt.
Si pjesë e kësaj pune, ne raportuam dobësi kritike te një numër projektesh me burim të hapur të përdorura gjerësisht, duke përfshirë OpenSSH(hapet në një dritare të re), GnuTLS(hapet në një dritare të re), GOGS(hapet në një dritare të re), Thorium(hapet në një dritare të re) libssh, PHP dhe Chromium, e të tjera. Katërmbëdhjetë CVE janë caktuar me raportim të dyfishtë për dy — kemi ndarë disa shembuj në Shtojcë.
Së fundmi filluam të integrojmë një grup fillestar mirëmbajtësish me burim të hapur në Codex për OSS, programin tonë për të mbështetur ekosistemin me llogari falas të ChatGPT Pro dhe Plus, shqyrtim të kodit dhe Sigurinë Codex. Projekte si vLLM tashmë kanë përdorur Codex Security për të gjetur dhe korrigjuar probleme si pjesë e rrjedhës së tyre normale të punës.
Ne planifikojmë ta zgjerojmë programin në javët e ardhshme në mënyrë që më shumë mirëmbajtës të kenë një rrugë të drejtpërdrejtë drejt sigurisë më të mirë, flukseve të punës së rishikimit më të forta dhe mbështetjes për punën me burim të hapur nga e cila varet ekosistemi. Nëse jeni mirëmbajtës i një projekti me burim të hapur dhe jeni të interesuar, ju lutemi, na kontaktoni.
Do ta qarkullojmë aksesin e Codex Security për klientët e ChatGPT Enterprise, Business dhe Edu gjatë ditëve në vijim. Shiko dokumentet tona(hapet në një dritare të re) për të mësuar më shumë rreth konfigurimit të Codex Security për ekipin tënd.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(hapet në një dritare të re)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(hapet në një dritare të re)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(hapet në një dritare të re)
- 2FA Bypass GOGS — CVE-2025-64175(hapet në një dritare të re)
- Unauth bypass GOGS — CVE-2026-25242(hapet në një dritare të re)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(hapet në një dritare të re)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(hapet në një dritare të re)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(hapet në një dritare të re) , CVE-2025-35436(hapet në një dritare të re)
- Session not rotated on password change — User::update_user — CVE-2025-35433(hapet në një dritare të re)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(hapet në një dritare të re)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(hapet në një dritare të re)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(hapet në një dritare të re)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(hapet në një dritare të re)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(hapet në një dritare të re)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(hapet në një dritare të re)
