Idag introducerar vi Codex-säkerhet, vår agent för applikationssäkerhet. Den bygger djupgående kontext kring ditt projekt för att identifiera komplexa sårbarheter som andra agentverktyg missar, vilket lyfter fram korrigeringar som avsevärt förbättrar systemets säkerhet samtidigt som du slipper bruset från obetydliga buggar.
Kontext är avgörande när man utvärderar verkliga säkerhetsrisker, men de flesta AI-säkerhetsverktyg flaggar bara lågprioriterade och falska positiva resultat, vilket tvingar säkerhetsteam att lägga ner betydande tid på triagering. Samtidigt påskyndar agenter programvaruutvecklingen, vilket gör säkerhetsgranskning till en allt mer kritisk flaskhals.
Codex-säkerhet hanterar båda utmaningarna. Genom att kombinera agentiskt resonemang från våra banbrytande modeller med automatiserad validering levererar det resultat med hög tillförlitlighet och konkreta åtgärder, så att team kan fokusera på de sårbarheter som spelar roll och leverera säker kod snabbare.
Codex-säkerhet var tidigare känt som Aardvark, och startade förra året som en sluten betaversion med en liten grupp kunder. Vid tidiga interna driftsättningar identifierades en verklig SSRF, en kritisk autentiseringssårbarhet mellan klienter och många andra problem som vårt säkerhetsteam åtgärdade inom några timmar. Tidiga implementeringar med externa testare hjälpte oss att förbättra hur användare tillhandahåller relevant produktkontext och går från onboarding till att säkra sin kod. Vi förbättrade också kvaliteten på våra resultat avsevärt under betaperioden: skanningar av samma förvar över tid visar ökad precision, och i ett fall minskade vi bruset med 84 % sedan den initiala lanseringen. Vi har minskat andelen resultat med överrapporterad allvarlighetsgrad med mer än 90 %, och andelen falska positiva resultat för detekteringar har minskat med mer än 50 % i alla förvar. Dessa förbättringar hjälper Codex-säkerhet att anpassa rapporterad allvarlighetsgrad till verklig risk och minska onödig triagebelastning för säkerhetsteam, och vi förväntar oss att signal-brus-förhållandet fortsätter att förbättras med ytterligare investeringar.
Från och med idag börjar Codex-säkerhet rullas ut till kunder med ChatGPT Enterprise, Business och Edu via Codex web med gratis användning under den kommande månaden.
Codex-säkerhet utnyttjar OpenAI:s banbrytande modeller och Codex-agenten. Det kan minska brus och påskynda åtgärder genom förankring av upptäckt, validering och patchning av sårbarheter i systemspecifik kontext.
- Bygg systemkontext och skapa en redigerbar hotmodell: Efter att du har konfigurerat en skanning analyserar den ditt förvar för att förstå systemets säkerhetsrelevanta struktur och genererar en projektspecifik hotmodell som kan registrera vad systemet gör, vad det litar på och var det är som mest exponerat. Modeller kan redigeras för att hålla agenten i linje med ditt team.
- Prioritera och validera problem: Med hotmodellen som kontext söker den efter sårbarheter och kategoriserar resultat baserat på förväntad påverkan i den verkliga världen i ditt system. Om möjligt stresstestar den resultaten i sandlådemiljöer för att skilja signal från brus. Användare kan se den här analysen i de validerade resultaten. När Codex-säkerhet är konfigurerat med en miljö som är anpassad till ditt projekt kan det validera potentiella problem direkt i sammanhanget för det system som körs. Den djupare valideringen kan minska antalet falska positiva resultat ytterligare och möjliggöra skapandet av fungerande verifiering av koncept, vilket ger säkerhetsteam starkare bevis och en tydligare väg till åtgärdande.
- Åtgärda problem med fullständig systemkontext: Slutligen föreslår Codex-säkerhet åtgärder för de upptäckta problemen som ligger i linje med systemets avsikt och omgivande beteende. Detta möjliggör patchar som kan förbättra säkerheten samtidigt som regressioner minimeras, vilket gör dem säkrare att granska och integrera. Användare kan filtrera resultaten så att de kan fokusera på det som är viktigast för deras team och har störst säkerhetspåverkan.
Codex-säkerhet kan också lära sig av din feedback över tid för att förbättra kvaliteten på sina resultat. När du justerar kritikaliteten för ett resultat kan den använda feedbacken för att förfina hotmodellen och förbättra precisionen vid efterföljande körningar, i takt med att den lär sig vad som är viktigt i din arkitektur och riskprofil.
Den är utformad för att fungera i stor skala och lyfta fram de mest tillförlitliga resultaten med korrigeringar som är enkla att godkänna. Under de senaste 30 dagarna skannade Codex-säkerhet mer än 1,2 miljoner commits i externa förvar i vår betakohort och identifierade 792 kritiska resultat och 10 561 resultat med hög allvarlighetsgrad. Kritiska problem uppstod i drygt 0,1 % av de genomsökta commits, vilket visar att systemet kan identifiera problem med konsekvenser för säkerheten i stora mängder källkod samtidigt som det minimerar brus för granskare.
“NETGEAR är ett företag med fokus på produktsäkerhet och är glada över att delta i programmet för tidig åtkomst, där resultaten överträffade förväntningarna. Codex-säkerhet integrerades utan problem i vår robusta säkerhetsutvecklingsmiljö, vilket stärkte hastigheten och djupet i våra granskningsprocesser. Dess resultat var tydliga och omfattande och gav ofta känslan av att en erfaren produktsäkerhetsforskare arbetade tillsammans med oss.“
Programvara med öppen källkod utgör grunden för moderna system, inklusive våra egna. Vi har använt Codex-säkerhet för att skanna de förvar med öppen källkod som vi litar på, och dela resultat med stor påverkan som vi identifierar med underhållsansvariga för att hjälpa till att stärka den grunden.
I våra samtal med underhållsansvariga framkom ett konstant tema: den stora utmaningen är inte en brist på sårbarhetsrapporter, utan för många rapporter av låg kvalitet. Underhållsansvariga berättade att de behöver färre falska positiva resultat och ett mer hållbart sätt att upptäcka verkliga säkerhetsproblem utan att skapa ytterligare triagebörda. De här samtalen bidrog till att forma hur vi stöttar communityn för öppen källkod med Codex-säkerhet. I stället för att generera stora volymer av spekulativa resultat bygger vi ett system som prioriterar problem med hög tillförlitlighet som underhållsansvariga snabbt kan agera på.
Som en del av detta arbete rapporterade vi kritiska sårbarheter till ett antal allmänt använda projekt med öppen källkod: OpenSSH(öppnas i ett nytt fönster), GnuTLS(öppnas i ett nytt fönster), GOGS(öppnas i ett nytt fönster), Thorium(öppnas i ett nytt fönster) libssh, PHP, Chromium med flera. Fjorton CVE:er har tilldelats, med dubbel rapportering för två – vi har delat några exempel i bilagan.
Vi har nyligen börjat introducera en första grupp av underhållsansvariga av öppen källkod till Codex för OSS, vårt program för att stödja ekosystemet med kostnadsfria ChatGPT Pro- och Plus-konton, kodgranskning och Codex-säkerhet. Projekt som vLLM har redan använt Codex-säkerhet för att identifiera och åtgärda problem som en del av deras normala arbetsflöde.
Vi planerar att utöka programmet under de kommande veckorna så att fler underhållare får en direkt väg till bättre säkerhet, effektivare granskningsflöden och stöd för det arbete med öppen källkod som ekosystemet är beroende av. Om du är underhållsansvarig av öppen källkod och är intresserad, kontakta oss.
Vi kommer att rulla ut åtkomst till Codex-säkerhet ChatGPT Enterprise-, Business- och Edu-kunder under de kommande dagarna. Kolla in vår dokumentation(öppnas i ett nytt fönster) om du vill veta mer om hur du konfigurerar Codex-säkerhet för ditt team.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(öppnas i ett nytt fönster)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(öppnas i ett nytt fönster)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(öppnas i ett nytt fönster)
- 2FA Bypass GOGS — CVE-2025-64175(öppnas i ett nytt fönster)
- Unauth bypass GOGS — CVE-2026-25242(öppnas i ett nytt fönster)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(öppnas i ett nytt fönster)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(öppnas i ett nytt fönster)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(öppnas i ett nytt fönster) , CVE-2025-35436(öppnas i ett nytt fönster)
- Session not rotated on password change — User::update_user — CVE-2025-35433(öppnas i ett nytt fönster)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(öppnas i ett nytt fönster)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(öppnas i ett nytt fönster)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(öppnas i ett nytt fönster)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(öppnas i ett nytt fönster)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(öppnas i ett nytt fönster)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(öppnas i ett nytt fönster)
Fortsätt läsa
