6. март 2026.

Codex Security: sada u istraživačkom pregledu

Учитавање…

Danas predstavljamo Codex Security, naš agent za bezbednost aplikacija. On gradi dubok kontekst o vašem projektu kako bi identifikovao složene ranjivosti koje drugi agentski alati propuštaju, izdvajajući nalaze sa većim stepenom pouzdanosti uz ispravke koje smisleno poboljšavaju bezbednost vašeg sistema, a pritom vas štede šuma beznačajnih grešaka.

Kontekst je ključan pri proceni stvarnih bezbednosnih rizika, ali većina AI alata za bezbednost samo označava nalaze sa malim uticajem i lažno pozitivne rezultate, primoravajući bezbednosne timove da troše značajno vreme na trijažu. U isto vreme, agenti ubrzavaju razvoj softvera, čineći bezbednosnu proveru sve kritičnijim uskim grlom. Codex Security rešava oba izazova. Kombinujući agentsko rezonovanje naših graničnih modela sa automatizovanom validacijom, isporučuje nalaze visoke pouzdanosti i primenljive ispravke kako bi timovi mogli da se usredsrede na ranjivosti koje su zaista važne i brže isporučuju bezbedan kod.

Ranije poznat kao Aardvark⁠, Codex Security je prošle godine započeo kao privatna beta sa malom grupom korisnika. U ranim internim primenama otkrio je stvarni SSRF, kritičnu ranjivost autentifikacije između zakupaca i mnoge druge probleme koje je naš bezbednosni tim zakrpio u roku od nekoliko sati. Rane primene sa spoljnim testerima pomogle su nam da unapredimo način na koji korisnici pružaju relevantan kontekst proizvoda i prelaze od uvođenja do obezbeđivanja svog koda. Takođe smo značajno poboljšali kvalitet nalaza tokom beta faze: skeniranja istih depôa tokom vremena pokazuju rastuću preciznost, pri čemu je u jednom slučaju šum smanjen za 84% od početnog uvođenja. Smanjili smo stopu nalaza sa precenjenom ozbiljnošću za više od 90%, a stope lažno pozitivnih detekcija pale su za više od 50% u svim depôima. Ova poboljšanja pomažu da Codex Security bolje uskladi prijavljenu ozbiljnost sa stvarnim rizikom u praksi i smanji nepotreban teret trijaže za bezbednosne timove, a očekujemo da će odnos signal-šum nastaviti da se poboljšava.

Počev od danas, Codex Security se uvodi u istraživačkom pregledu za korisnike ChatGPT Pro, Enterprise, Business i Edu preko Codex veba, uz besplatno korišćenje tokom narednog meseca.

Kako Codex Security funkcioniše

Codex Security koristi OpenAI granične modele i Codex agent. Može da smanji šum i ubrza otklanjanje problema tako što utemeljuje otkrivanje ranjivosti, validaciju i zakrpe u kontekstu specifičnom za sistem.

Izgradnja sistemskog konteksta i kreiranje izmenjivog modela pretnji: Nakon podešavanja skeniranja, analizira vaš depo da bi razumeo strukturu sistema relevantnu za bezbednost i generiše model pretnji specifičan za projekat koji može da obuhvati šta sistem radi, čemu veruje i gde je najizloženiji. Modeli pretnji mogu da se uređuju kako bi agent ostao usklađen s vašim timom.
Određivanje prioriteta i validacija problema: Koristeći model pretnji kao kontekst, pretražuje ranjivosti i kategorizuje nalaze na osnovu očekivanog uticaja u stvarnim uslovima na vaš sistem. Gde god je to moguće, testira nalaze u izolovanim okruženjima za validaciju kako bi razlikovao signal od šuma. Korisnici mogu da vide ovu analizu u validiranim nalazima. Kada je Codex Security podešen sa okruženjem prilagođenim vašem projektu, može da validira potencijalne probleme direktno u kontekstu pokrenutog sistema. Ta dublja validacija može dodatno da smanji lažno pozitivne rezultate i omogući kreiranje funkcionalnih proof-of-concept primera, dajući bezbednosnim timovima snažnije dokaze i jasniji put ka otklanjanju problema.
Zakrpavanje problema uz pun sistemski kontekst: Na kraju, Codex Security predlaže ispravke za otkrivene probleme koje su usklađene sa namerom sistema i okolnim ponašanjem. To omogućava zakrpe koje mogu poboljšati bezbednost uz minimizovanje regresija, čineći ih bezbednijim za pregled i prihvatanje. Korisnici mogu filtrirati nalaze kako bi ostali fokusirani na ono što je najvažnije za njihov tim i ima najveći uticaj na bezbednost.

Codex Security takođe može da uči iz vaših povratnih informacija tokom vremena kako bi poboljšao kvalitet svojih nalaza. Kada prilagodite kritičnost nalaza, može da iskoristi te povratne informacije da unapredi model pretnji i poboljša preciznost u narednim pokretanjima dok uči šta je važno u vašoj arhitekturi i profilu rizika.

Dizajniran je da radi u velikom obimu i izdvaja nalaze sa najvećim stepenom pouzdanosti uz zakrpe koje se lako prihvataju. Tokom poslednjih 30 dana, Codex Security je skenirao više od 1,2 miliona commit-a u spoljnim depôima u našoj beta kohorti, identifikujući 792 kritična nalaza i 10.561 nalaz visoke ozbiljnosti. Kritični problemi pojavili su se u manje od 0,1% skeniranih commit-a, što pokazuje da sistem može da identifikuje bezbednosno značajne probleme u velikim količinama koda uz minimizovanje šuma za pregledaoce.

„Kao kompaniji snažno usmerenoj na bezbednost proizvoda, NETGEAR-u je bilo zadovoljstvo da se priključi programu ranog pristupa, a rezultati su nadmašili očekivanja. Codex Security se bez napora uklopio u naše robusno okruženje za bezbedan razvoj, ojačavši tempo i dubinu naših procesa provere. Njegovi nalazi bili su impresivno jasni i sveobuhvatni, često ostavljajući utisak da iskusni istraživač bezbednosti proizvoda radi zajedno sa nama.“

— Chandan Nandakumaraiah, rukovodilac bezbednosti proizvoda u NETGEAR-u i član CVE odbora

Podrška open source zajednici

Open source softver čini osnovu modernih sistema, uključujući i naše. Koristimo Codex Security za skeniranje open-source depôa od kojih najviše zavisimo i delimo bezbednosne nalaze visokog uticaja koje identifikujemo sa održavaocima kako bismo pomogli u jačanju te osnove.

U razgovorima sa održavaocima pojavila se dosledna tema: izazov nije nedostatak prijava ranjivosti, već njihov preveliki broj lošeg kvaliteta. Održavaoci su nam rekli da im je potrebno manje lažno pozitivnih rezultata i održiviji način da dođu do stvarnih bezbednosnih problema bez stvaranja dodatnog tereta trijaže. Ti razgovori pomogli su da oblikujemo način na koji podržavamo open source zajednicu kroz Codex Security. Umesto generisanja velikih količina spekulativnih nalaza, gradimo sistem koji daje prioritet problemima visoke pouzdanosti na koje održavaoci mogu brzo da reaguju.

U okviru ovog rada prijavili smo kritične ranjivosti brojnim široko korišćenim open-source projektima, uključujući OpenSSH⁠(отвара се у новом прозору), GnuTLS⁠(отвара се у новом прозору), GOGS⁠(отвара се у новом прозору), Thorium⁠(отвара се у новом прозору), libssh, PHP i Chromium i druge. Dodeljeno je četrnaest CVE oznaka, uz dvostruko prijavljivanje za dve — neke primere smo podelili u Dodatku.

Nedavno smo počeli da uključujemo početnu grupu open-source održavalaca u Codex for OSS, naš program za podršku ekosistemu uz besplatne ChatGPT Pro i Plus naloge, pregled koda i Codex Security. Projekti poput vLLM-a već su koristili Codex Security da pronađu i zakrpe probleme kao deo svog uobičajenog toka rada.

Planiramo da proširimo program u narednim nedeljama kako bi više održavalaca imalo direktan put ka boljoj bezbednosti, snažnijim tokovima pregleda i podršci za open-source rad od kog ekosistem zavisi. Ako ste open-source održavalac i zainteresovani ste, javite nam se⁠.

Započnite

U narednim danima uvodićemo pristup Codex Security-ju za korisnike ChatGPT Enterprise, Business i Edu. Pogledajte našu dokumentaciju⁠(отвара се у новом прозору) da saznate više o podešavanju Codex Security-ja za svoj tim.