Leo tunawaletea Usalama wa Codex, wakala wetu wa usalama wa programu. Inajenga muktadha wa kina kuhusu mradi wako ili kutambua udhaifu changamano ambao zana zingine za kiwakala hukosa, ikionyesha matokeo yenye uaminifu wa juu zaidi pamoja na marekebisho yanayoboresha kwa maana usalama wa mfumo wako huku ikikuokoa kutokana na kelele za hitilafu zisizo na umuhimu.
Muktadha ni muhimu wakati wa kutathmini hatari halisi za usalama, lakini zana nyingi za usalama wa AI huashiria tu matokeo yenye athari ndogo na chanya za uongo, na kulazimisha timu za usalama kutumia muda mwingi kwenye uchunguzi wa awali. Wakati huo huo, mawakala wanaharakisha maendeleo ya programu, na kufanya ukaguzi wa usalama kuwa kikwazo muhimu zaidi.
Usalama wa Codex unashughulikia changamoto zote mbili. Kwa kuchanganya uwazaji wa kiwakala kutoka kwa miundo yetu ya mpaka na uthibitishaji wa kiotomatiki, hutoa matokeo yenye uaminifu wa juu na marekebisho yanayoweza kutekelezwa ili timu ziweze kuzingatia udhaifu unaojali na kusambaza msimbo salama kwa haraka zaidi.
Hapo awali ilijulikana kama Aardvark, Codex Security ilianza mwishoni mwa mwaka jana kama beta ya kibinafsi na kikundi kidogo cha wateja. Katika usambazaji wa awali wa ndani, ilibainika SSRF halisi, udhaifu mkubwa wa uthibitishaji wa utambulisho wa cross-tenant, na masuala mengine mengi ambayo timu yetu ya usalama iliziba ndani ya saa chache. Utekelezaji wa awali pamoja na wajaribu wa nje ulitusaidia kuboresha jinsi watumiaji wanavyotoa muktadha wa bidhaa unaofaa na kuhamia kutoka uanzishaji hadi kulinda msimbo wao. Pia tuliboresha kwa kiasi kikubwa ubora wa matokeo yetu katika kipindi chote cha beta: uchanganuzi kwenye uhifadhi zilezile kadri muda unavyopita unaonyesha usahihi unaoongezeka, na katika kisa kimoja ukipunguza kelele kwa 84% tangu uzinduzi wa awali. Tumepunguza kiwango cha matokeo yenye ukali ulioripotiwa kupita kiasi kwa zaidi ya 90%, na viwango vya makosa chanya ya uwongo kwenye ugunduzi vimeshuka kwa zaidi ya 50% katika uhifadhi zote. Maboresho haya husaidia Codex Security kulinganisha vyema ukali ulioripotiwa na hatari halisi duniani na kupunguza mzigo usio wa lazima wa uchunguzi wa awali kwa timu za usalama, na tunatarajia uwiano wa ishara kwa kelele kuendelea kuboreka kwa uwekezaji zaidi.
Kuanzia leo, Codex Security inaanza kusambazwa kwa wateja wa ChatGPT Enterprise, Business, na Edu kupitia Codex web kwa matumizi ya bila malipo kwa mwezi ujao.
Codex Security inatumia miundo ya mpaka ya OpenAI na wakala wa Codex. Inaweza kupunguza kelele na kuharakisha urekebishaji kwa uimarishaji wa ugunduzi wa udhaifu, uthibitishaji, na kuziba katika muktadha mahususi wa mfumo.
- Jenga muktadha wa mfumo na uunde muundo wa tishio unaoweza kuhaririwa: Baada ya kusanidi uchunguzi, inachanganua uhifadhi wako ili kuelewa muundo wa mfumo unaohusiana na usalama na hutengeneza muundo wa tishio mahususi wa mradi unaoweza kunasa kile mfumo hufanya, kile unachokiamini, na mahali ulipo wazi zaidi. Miundo ya vitisho inaweza kuhaririwa ili kumweka wakala katika mwelekeo mmoja na timu yako.
- Pangua na thibitisha masuala: Kwa kutumia muundo wa vitisho kama muktadha, inatafuta udhaifu na kuainisha matokeo kulingana na athari inayotarajiwa ya ulimwengu halisi katika mfumo wako. Ikiwezekana, inafanyia majaribio ya kina matokeo katika mazingira ya uthibitishaji yaliyotengwa na yenye usalama wa sandbox ili kutofautisha ishara na kelele. Watumiaji wanaweza kuona uchambuzi huu katika matokeo yaliyothibitishwa. Wakati Codex Security imesanidiwa na mazingira yaliyoundwa mahsusi kwa mradi wako, inaweza kuthibitisha matatizo yanayoweza kutokea moja kwa moja katika muktadha wa mfumo unaoendeshwa. Uthibitishaji huo wa kina zaidi unaweza kupunguza matokeo chanya ya uongo hata zaidi na kuwezesha uundaji wa uthibitisho wa dhana unaofanya kazi, na kuzipa timu za usalama ushahidi thabiti zaidi na njia iliyo wazi zaidi ya kurekebisha.
- Rekebisha masuala kwa muktadha kamili wa mfumo: Hatimaye, Usalama wa Codex unapendekeza marekebisho kwa masuala yaliyogunduliwa yanayoendana na nia ya mfumo na tabia inayozunguka. Hii huwezesha viraka vinavyoweza kuboresha usalama huku vikidumisha kupunguza kurudi nyuma, na kuvifanya viwe salama zaidi kukaguliwa na kuingizwa. Watumiaji wanaweza kuchuja matokeo ili waendelee kuzingatia kile kilicho muhimu zaidi kwa timu yao na chenye athari kubwa zaidi kwa usalama.
Codex Security pia inaweza kujifunza kutokana na mrejesho wako kadri muda unavyopita ili kuboresha ubora wa matokeo yake. Unaporekebisha ukali wa jambo lililopatikana, linaweza kutumia mrejesho huo kuboresha muundo wa tishio na kuongeza usahihi katika uendeshaji unaofuata kadri linavyojifunza kile kinachojalisha katika usanifu wako na mkao wako wa hatari.
Imeundwa kuendesha kwa kiwango kikubwa na kuonyesha ugunduzi wenye ujasiri wa juu zaidi pamoja na viraka vilivyo rahisi kukubali. Katika siku 30 zilizopita, Codex Security ilichanganua zaidi ya marekebisho milioni 1.2 katika uhifadhi za nje katika kundi letu la beta, ikitambua matokeo 792 muhimu sana na matokeo 10,561 ya ukali wa juu. Masuala muhimu yalionekana katika chini ya 0.1% ya marekebisho yaliyokaguliwa, ikionyesha kwamba mfumo unaweza kutambua masuala yanayoathiri usalama katika kiasi kikubwa cha msimbo huku ukipunguza kelele kwa wakaguzi.
"Kama kampuni inayolenga kwa umakini mkubwa usalama wa bidhaa, NETGEAR ilifurahi kujiunga na mpango wa ufikiaji wa mapema, na matokeo yalizidi matarajio." Codex Security iliunganishwa kwa urahisi katika mazingira yetu thabiti ya uundaji wa usalama, na kuimarisha kasi na kina cha michakato yetu ya ukaguzi. Matokeo yake yalikuwa wazi na ya kina kwa njia ya kuvutia, mara nyingi yakitoa hisia kwamba mtafiti mwenye uzoefu wa usalama wa bidhaa alikuwa akifanya kazi pamoja nasi."
Programu za chanzo huria ndizo msingi wa mifumo ya kisasa, ikiwemo yetu wenyewe. Tumekuwa tukitumia Codex Security kuchanganua uhifadhi za chanzo huria tunazotegemea zaidi, tukishiriki matokeo ya usalama yenye athari kubwa tunayobaini na wadumishaji ili kusaidia kuimarisha msingi huo.
Katika mazungumzo yetu na wataunzaji, mada ya mara kwa mara iliibuka: changamoto si ukosefu wa ripoti za udhaifu, bali ni nyingi sana zenye ubora wa chini. Wadumishaji walituambia wanahitaji matokeo chanya ya uongo machache na njia endelevu zaidi ya kuonyesha masuala halisi ya usalama bila kuunda mzigo wa ziada wa uchunguzi wa awali. Mazungumzo haya yalisaidia kuunda jinsi tunavyosaidia jamii ya chanzo huria kwa kutumia Codex Security. Badala ya kuzalisha kiasi kikubwa cha matokeo ya kubahatisha, tunaunda mfumo unaotanguliza masuala yenye uhakika wa juu ambayo wasimamizi wanaweza kuchukua hatua haraka.
Kama sehemu ya kazi hii, tuliripoti udhaifu muhimu kwa idadi ya miradi ya chanzo huria inayotumika sana ikijumuisha OpenSSH(fungua katika dirisha jipya), GnuTLS(fungua katika dirisha jipya), GOGS(fungua katika dirisha jipya), Thorium(fungua katika dirisha jipya) libssh, PHP, na Chromium, na mingineyo. Kumi na nne CVEs zimepewa kwa kuripotiwa mara mbili kwenye mbili — tumeshiriki baadhi ya mifano katika Kiambatisho.
Hivi karibuni tulianza kuingiza kundi la awali la wadumishaji wa chanzo huria kwenye Codex for OSS, programu yetu ya kusaidia mfumo ikolojia kwa akaunti za bure za ChatGPT Pro na Plus, ukaguzi wa msimbo, na Usalama wa Codex. Miradi kama vLLM tayari imetumia Usalama wa Codex kupata na kurekebisha masuala kama sehemu ya mtiririko wao wa kawaida wa kazi.
Tunapanga kupanua programu katika wiki zijazo ili wadumishaji zaidi wawe na njia ya moja kwa moja ya kupata usalama bora, mifumo thabiti zaidi ya mtiririko wa kazi wa ukaguzi, na usaidizi kwa kazi ya chanzo huria ambayo mfumo wa ikolojia unategemea. Ikiwa wewe ni msimamizi wa mradi wa chanzo huria na una nia, tafadhali wasiliana nasi.
Tutakuwa tukisambaza ufikiaji wa Codex Security kwa wateja wa ChatGPT Enterprise, Business, na Edu katika siku chache zijazo. Tazama hati zetu(fungua katika dirisha jipya) ili ujifunze zaidi kuhusu kusanidi Codex Security kwa timu yako.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(fungua katika dirisha jipya)
- GnuTLS Usomaji Kupita Kiasi wa Bafa ya Heap katika Uchanganuzi wa Kiendelezi cha SCT — CVE-2025-32989(fungua katika dirisha jipya)
- GnuTLS Double-Free katika uhamishaji wa otherName SAN — CVE-2025-32988(fungua katika dirisha jipya)
- Kupita 2FA GOGS — CVE-2025-64175(fungua katika dirisha jipya)
- Kupita uthibitishaji GOGS — CVE-2026-25242(fungua katika dirisha jipya)
- Kupitia njia (uandishi wa kiholela) — download_ephemeral, download_children (wakala) — CVE-2025-35430(fungua katika dirisha jipya)
- Upenyezaji wa LDAP (vichujio & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(fungua katika dirisha jipya)
- DoS isiyoidhinishwa & matumizi mabaya ya barua pepe — resend_email_verification — CVE-2025-35432(fungua katika dirisha jipya) , CVE-2025-35436(fungua katika dirisha jipya)
- Kikao hakikuzungushwa wakati wa kubadilisha nenosiri — User::update_user — CVE-2025-35433(fungua katika dirisha jipya)
- Uthibitishaji wa TLS umezimwa — Elasticsearch client — CVE-2025-35434(fungua katika dirisha jipya)
- DoS: mgawanyo kwa sifuri — /api/streams/depth/.../{split} — CVE-2025-35435(fungua katika dirisha jipya)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(fungua katika dirisha jipya)
- Stack-based Buffer Overflow katika TPM2 PKDECRYPT kwa RSA na ECC kutokana na Kukosekana kwa Uthibitishaji wa Urefu wa Ciphertext — CVE-2026-24882(fungua katika dirisha jipya)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(fungua katika dirisha jipya)
- PKCS#12 PBMAC1 PBKDF2 keyLength kufurika + kupita MAC — CVE-2025-11187(fungua katika dirisha jipya)
