இன்று நாங்கள் எங்கள் செயலி பாதுகாப்பு ஏஜென்ட் ஆன Codex Security ஐ அறிமுகப்படுத்துகிறோம். உங்கள் திட்டத்தைப் பற்றி ஆழமான சூழல் புரிதலை உருவாக்கி, பிற ஏஜென்டிக் கருவிகள் தவறவிடும் சிக்கலான பாதுகாப்பு குறைபாடுகளை அடையாளம் கண்டு, உங்கள் அமைப்பின் பாதுகாப்பை அர்த்தமுள்ள வகையில் மேம்படுத்தும் திருத்தங்களுடன் அதிக நம்பிக்கையுடைய கண்டறிதல்களை வெளிக்கொணர்கிறது; அதே நேரத்தில் முக்கியமற்ற பிழைகளின் சத்தத்திலிருந்து உங்களை விடுவிக்கிறது.
உண்மையான பாதுகாப்பு அபாயங்களை மதிப்பிடும்போது சூழல் மிகவும் முக்கியமானது. ஆனால் பெரும்பாலான AI பாதுகாப்பு கருவிகள் குறைந்த தாக்கம் கொண்ட கண்டுபிடிப்புகள் மற்றும் தவறான நேர்மறையான எச்சரிக்கைகளை மட்டும் சுட்டிக்காட்டுகின்றன; இதனால் பாதுகாப்பு அணிகள் அவற்றை சரிபார்த்து வகைப்படுத்துவதற்காக (triage) அதிக நேரத்தை செலவிட வேண்டிய நிலை ஏற்படுகிறது. அதே நேரத்தில், ஏஜென்ட்கள் மென்பொருள் மேம்பாட்டை துரிதப்படுத்துகின்றன, இதனால் பாதுகாப்பு மதிப்பாய்வு நாளுக்கு நாள் மிக முக்கியமான தடையாக மாறுகிறது.
Codex பாதுகாப்பு இரு சவால்களையும் சமாளிக்கிறது. எங்களின் அதிநவீன மாடல்களிலிருந்து வரும் ஏஜென்டிக் ரீஸனிங்கை தானியங்கி சரிபார்ப்புடன் இணைப்பதன் மூலம், இது உயர்ந்த நம்பகத்தன்மையுள்ள கண்டறிதல்களையும் செயல்படுத்தக்கூடிய சரிசெய்தல்களையும் வழங்குகிறது; இதனால் அணிகள் முக்கியமான பாதிப்புகளிலேயே கவனம் செலுத்தி, பாதுகாப்பான குறியீட்டை வேகமாக அனுப்ப முடியும்.
முன்னர் Aardvark என அறியப்பட்ட Codex Security, கடந்த ஆண்டு ஒரு சிறிய வாடிக்கையாளர் குழுவுடன் தனிப்பட்ட பீட்டாவாகத் தொடங்கியது. ஆரம்பகால உள் பிரயோகங்களில், இது ஒரு உண்மையான SSRF, ஒரு தீவிரமான cross-tenant authentication பாதிப்பு, மற்றும் பல பிற பிரச்சனைகளை வெளிச்சமிட்டுக் காட்டியது; அவற்றை எங்கள் பாதுகாப்புக் குழு சில மணிநேரங்களுக்குள் திருத்தியது. வெளிப்புற சோதனையாளர்களுடன் மேற்கொண்ட ஆரம்பகட்ட செயல்படுத்தல்கள், பயனர்கள் தொடர்புடைய தயாரிப்பு சூழ்நிலையை எவ்வாறு வழங்குகிறார்கள் என்பதையும், அறிமுகப்படுத்தலிலிருந்து தங்கள் குறியீட்டை பாதுகாப்பதற்குத் தாவுவதையும் மேம்படுத்த எங்களுக்கு உதவின. பீட்டாவின் போது எங்கள் கண்டுபிடிப்புகளின் தரத்தையும் நாங்கள் கணிசமாக மேம்படுத்தியுள்ளோம்: காலப்போக்கில் அதே ரிபாசிட்டரிகளில் ஸ்கேன்கள் அதிகரித்து வரும் துல்லியத்தைக் காட்டுகின்றன, ஒரு சந்தர்ப்பத்தில் ஆரம்ப வெளியீட்டிலிருந்து சத்தம் 84% குறைக்கப்பட்டது. அதிகமாக அறிவிக்கப்பட்ட தீவிரத்தன்மையுடன் உள்ள கண்டுபிடிப்புகளின் விகிதத்தை நாங்கள் 90% க்கும் மேல் குறைத்துள்ளோம், மேலும் அனைத்து ரிபாசிட்டரிகளிலும் கண்டறிதல்களில் தவறான நேர்மறை வீதங்கள் 50% க்கும் மேல் குறைந்துள்ளன. இந்த மேம்பாடுகள் Codex Security க்கு உண்மையான உலக அபாயத்துடன் அறிக்கையிடப்பட்ட தீவிரத்தை சிறப்பாக சீரமைக்க உதவுகின்றன மற்றும் பாதுகாப்பு குழுக்களுக்கு தேவையற்ற வகைப்படுத்தல் சுமையைக் குறைக்கின்றன, மேலும் முதலீட்டுடன் சிக்னல்-இரைச்சல் விகிதம் தொடர்ந்து மேம்படும் என்று நாங்கள் எதிர்பார்க்கிறோம்.
இன்று முதல், Codex Security ஐ Codex web வழியாக ChatGPT Enterprise, Business, மற்றும் Edu வாடிக்கையாளர்களுக்கு வெளியிடத் தொடங்குகிறோம்; அடுத்த மாதத்திற்கு இலவச பயன்பாட்டுடன்.
Codex Security OpenAI இன் அதிநவீன மாடல்கள் மற்றும் Codex ஏஜென்டை பயன்படுத்துகிறது. அமைப்பு-குறிப்பிட்ட சூழலில் பாதிப்பு கண்டறிதல், சரிபார்த்தல், மற்றும் பேட்ச்சிங்கை கிரௌண்டிங் செய்வதன் மூலம் இது சத்தத்தைக் குறைத்து சரிசெய்தலை துரிதப்படுத்த முடியும்.
- சிஸ்டம் சூழலை உருவாக்கி, திருத்தக்கூடிய அச்சுறுத்தல் மாடலை உருவாக்கவும்: ஒரு ஸ்கேனை உள்ளமைத்த பிறகு, இது உங்கள் ரிபாசிட்டரியை பகுப்பாய்வு செய்து, சிஸ்டத்தின் பாதுகாப்பு தொடர்புடைய கட்டமைப்பை புரிந்துகொள்கிறது மற்றும் சிஸ்டம் என்ன செய்கிறது, அது எதை நம்புகிறது, மற்றும் எங்கு அது அதிகமாக வெளிப்படுகிறது என்பவற்றை பதிவு செய்யக்கூடிய திட்டத்திற்கே உரிய அச்சுறுத்தல் மாடலை உருவாக்குகிறது. உங்கள் குழுவுடன் ஏஜென்ட் ஒருங்கிணைந்திருக்க, அச்சுறுத்தல் மாடல்கள் திருத்தப்படலாம்.
- சிக்கல்களுக்கு முன்னுரிமை அளித்து சரிபார்க்கவும்: அச்சுறுத்தல் மாடலை சூழலாகக் கொண்டு, இது பாதிப்புகளைத் தேடி, உங்கள் அமைப்பில் எதிர்பார்க்கப்படும் நிஜ உலக தாக்கத்தின் அடிப்படையில் கண்டறிதல்களை வகைப்படுத்துகிறது. சாத்தியமுள்ள இடங்களில், சிக்னலை இரைச்சலிலிருந்து பிரித்தறிய சாண்ட்பாக்ஸ் செய்யப்பட்ட சரிபார்ப்பு சூழல்களில் கண்டறிதல்களை அழுத்தம் சோதிக்கிறது. பயனர்கள் இந்த பகுப்பாய்வை சரிபார்க்கப்பட்ட கண்டுபிடிப்புகளில் காணலாம். Codex Security உங்கள் திட்டத்திற்கேற்ப அமைக்கப்பட்ட சூழலுடன் உள்ளமைக்கப்பட்டால், இயங்கிக் கொண்டிருக்கும் அமைப்பின் சூழலிலேயே சாத்தியமான சிக்கல்களை நேரடியாக சரிபார்க்க முடியும். அந்த ஆழமான சரிபார்ப்பு தவறான நேர்மறைகளை மேலும் குறைக்க முடியும் மற்றும் செயல்படும் கருத்துக்கான நிரூபணங்களை உருவாக்குவதையும் இயலுமைப்படுத்தும், இதனால் பாதுகாப்பு அணிகளுக்கு வலுவான ஆதாரமும் சரிசெய்தலுக்கான தெளிவான பாதையும் கிடைக்கும்.
- முழு அமைப்பு சூழலுடன் பேட்ச் சிக்கல்கள்: இறுதியாக, Codex Security கண்டறியப்பட்ட சிக்கல்களுக்கு அமைப்பின் நோக்கத்துடனும் சுற்றியுள்ள நடத்தையுடனும் ஒத்துப்போகும் திருத்தங்களை முன்மொழிகிறது. இது பாதுகாப்பை மேம்படுத்தக்கூடிய பேட்ச்களை, பின்வாங்கல்களை குறைந்தபட்சமாக வைத்துக்கொண்டே செயல்படுத்த உதவுகிறது; இதனால் அவற்றை மதிப்பாய்வு செய்து இணைப்பது மேலும் பாதுகாப்பாகிறது. பயனர்கள் கண்டறிதல்களை வடிகட்டலாம், இதனால் அவர்கள் தங்கள் அணிக்கு மிகவும் முக்கியமானவற்றிலும் மிக உயர்ந்த பாதுகாப்புத் தாக்கம் கொண்டவற்றிலும் கவனம் செலுத்த முடியும்.
Codex Security அதன் கண்டறிதல்களின் தரத்தை மேம்படுத்த, காலப்போக்கில் உங்கள் கருத்துக்களிலிருந்து கற்றுக்கொள்ள முடியும். நீங்கள் ஒரு கண்டறிதலின் முக்கியத்துவ நிலையைச் சரிசெய்யும்போது, அது அந்த கருத்துக்களைப் பயன்படுத்தி அச்சுறுத்தல் மாடலை செம்மைப்படுத்தவும், உங்கள் கட்டமைப்பு மற்றும் அபாய நிலைப்பாட்டில் முக்கியமானவற்றை கற்றுக்கொண்டு அடுத்தடுத்த செயல்பாடுகளில் துல்லியத்தை மேம்படுத்தவும் முடியும்.
இது பெரிய அளவில் செயல்படவும், எளிதில் ஏற்றுக்கொள்ளக்கூடிய பேட்ச்களுடன் மிக உயர்ந்த நம்பிக்கையுடைய கண்டுபிடிப்புகளை வெளிப்படுத்தவும் வடிவமைக்கப்பட்டுள்ளது. கடந்த 30 நாட்களில், Codex Security எங்கள் பீட்டா கூட்டத்தில் உள்ள வெளிப்புற ரிபாசிட்டரிகளில் 1.2 மில்லியனுக்கும் அதிகமான கமிட்களை ஸ்கேன் செய்து, 792 மிக முக்கியமான கண்டறிதல்களையும் 10,561 உயர்-தீவிரத்தன்மை கொண்ட கண்டறிதல்களையும் அடையாளம் கண்டது. ஸ்கேன் செய்யப்பட்ட கமிட்களில் 0.1% க்கும் குறைவாகவே முக்கியமான சிக்கல்கள் தோன்றின; இதன் மூலம், மீளாய்வாளர்களுக்கான தேவையற்ற சத்தத்தை குறைத்துக்கொண்டே, பெருமளவு குறியீட்டில் பாதுகாப்பை பாதிக்கும் சிக்கல்களை அமைப்பு கண்டறிய முடியும் என்பதைக் காட்டுகிறது.
தயாரிப்பு பாதுகாப்பில் கவனம் செலுத்தும் நிறுவனமாக, NETGEAR முன்னதாக அணுகல் திட்டத்தில் சேர்ந்து மகிழ்ச்சியடைந்தது, மேலும் முடிவுகள் எதிர்பார்ப்புகளை மீறின. Codex Security எங்கள் வலுவான பாதுகாப்பு மேம்பாட்டு சூழலில் எளிதாக ஒருங்கிணைக்கப்பட்டு, எங்கள் மதிப்பாய்வு செயல்முறைகளின் வேகத்தையும் ஆழத்தையும் வலுப்படுத்துகிறது. அதன் கண்டுபிடிப்புகள் தெளிவாகவும் முழுமையாகவும் இருந்தன; பல நேரங்களில், அனுபவமிக்க தயாரிப்பு பாதுகாப்பு ஆராய்ச்சியாளர் ஒருவர் எங்களுடன் இணைந்து பணியாற்றுகிறார் என்ற உணர்வை அளித்தது.
திறந்த மூல மென்பொருள் நவீன அமைப்புகளின் அடித்தளமாக உள்ளது, எங்களுடையவற்றையும் உட்பட. நாங்கள் அதிகமாக நம்பியிருக்கும் ஓபன்-சோர்ஸ் ரிபாசிட்டரிகளை ஸ்கேன் செய்ய Codex ஐப் பயன்படுத்தி வருகிறோம்; நாங்கள் கண்டறியும் அதிக தாக்கம் கொண்ட பாதுகாப்பு கண்டுபிடிப்புகளை பராமரிப்பாளர்களுடன் பகிர்ந்து, அந்த அடித்தளத்தை வலுப்படுத்த உதவுகிறோம்.
பராமரிப்பாளர்களுடன் எங்கள் உரையாடல்களில், ஒரு தொடர்ச்சியான கருத்து வெளிப்பட்டது: சவால் என்பது பாதிப்பு அறிக்கைகள் இல்லாமை அல்ல, ஆனால் தரமற்றவை மிக அதிகமாக இருப்பதே. பராமரிப்பாளர்கள், அவர்களுக்கு குறைவான தவறான நேர்மறைகளும், கூடுதல் ட்ரையாஜ் சுமையை உருவாக்காமல் உண்மையான பாதுகாப்பு பிரச்சனைகளை வெளிப்படுத்த ஒரு மேலும் நிலையான முறையும் தேவை என்று எங்களிடம் தெரிவித்தனர். இந்த உரையாடல்கள் Codex Security மூலம் திறந்த மூல சமூகத்திற்கு நாங்கள் எவ்வாறு ஆதரவு வழங்குகிறோம் என்பதை வடிவமைக்க உதவின. ஊக அடிப்படையிலான கண்டுபிடிப்புகளை பெருமளவில் உருவாக்குவதற்குப் பதிலாக, பராமரிப்பாளர்கள் விரைவாக நடவடிக்கை எடுக்கக்கூடிய உயர்-நம்பிக்கையுள்ள பிரச்சனைகளுக்கு முன்னுரிமை அளிக்கும் ஒரு அமைப்பை நாங்கள் உருவாக்குகிறோம்.
இந்த பணியின் ஒரு பகுதியாக, OpenSSH(புதிய சாளரத்தில் திறக்கும்), GnuTLS(புதிய சாளரத்தில் திறக்கும்), GOGS(புதிய சாளரத்தில் திறக்கும்), Thorium(புதிய சாளரத்தில் திறக்கும்) libssh, PHP, மற்றும் Chromium உள்ளிட்ட பரவலாகப் பயன்படுத்தப்படும் பல திறந்த மூலத் திட்டங்களுக்கு முக்கியமான பாதிப்புகளை நாங்கள் அறிக்கையிட்டோம், மேலும் பல. பதினான்கு CVE-கள் ஒதுக்கப்பட்டுள்ளன; அவற்றில் இரண்டில் இரட்டை அறிக்கையிடல் உள்ளது — இணைப்பில் சில உதாரணங்களை நாங்கள் பகிர்ந்துள்ளோம்.
சமீபத்தில், இலவச ChatGPT Pro மற்றும் Plus கணக்குகள், குறியீடு மதிப்பாய்வு, மற்றும் Codex Security ஆகியவற்றுடன் சூழலமைப்பை ஆதரிக்க உருவாக்கப்பட்ட எங்கள் திட்டமான Codex for OSS-இல் திறந்த மூல பராமரிப்பாளர்களின் ஆரம்பக் குழுவை இணைத்துள்ளோம். vLLM போன்ற திட்டங்கள், தங்களின் வழக்கமான பணிப்பாய்வின் ஒரு பகுதியாக Codex Security-ஐ பயன்படுத்தி பிரச்சினைகளை கண்டறிந்து சரிசெய்துள்ளன.
வரும் வாரங்களில் இந்தத் திட்டத்தை விரிவுபடுத்தத் திட்டமிட்டுள்ளோம், இதனால் அதிகமான பராமரிப்பாளர்கள் சிறந்த பாதுகாப்பு, வலுவான மதிப்பாய்வு பணிப்பாய்வுகள் மற்றும் சுற்றுச்சூழல் அமைப்பு சார்ந்திருக்கும் திறந்த மூலப் பணிகளுக்கான ஆதரவைப் பெற நேரடிப் பாதையைப் பெறுவார்கள். நீங்கள் ஒரு திறந்த மூல பராமரிப்பாளராக இருந்து ஆர்வமாக இருந்தால், தயவுசெய்து தொடர்பு கொள்ளுங்கள்.
வரும் நாட்களில் ChatGPT Enterprise, Business, மற்றும் Edu வாடிக்கையாளர்களுக்கு Codex Security அணுகலை வெளியிடத் தொடங்குகிறோம். உங்கள் குழுவிற்காக Codex Security ஐ அமைப்பது பற்றி மேலும் அறிய எங்கள் ஆவணங்களை(புதிய சாளரத்தில் திறக்கும்) பாருங்கள்.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(புதிய சாளரத்தில் திறக்கும்)
- GnuTLS SCT நீட்டிப்பு பகுப்பாய்வில் Heap Buffer Overread — CVE-2025-32989(புதிய சாளரத்தில் திறக்கும்)
- GnuTLS otherName SAN ஏற்றுமதியில் Double-Free — CVE-2025-32988(புதிய சாளரத்தில் திறக்கும்)
- 2FA பைபாஸ் GOGS — CVE-2025-64175(புதிய சாளரத்தில் திறக்கும்)
- அங்கீகாரம் இன்றி GOGS பாதுகாப்பை மீறுதல் (Unauthenticated Bypass) — CVE-2026-25242(புதிய சாளரத்தில் திறக்கும்)
- பாதை ஊடுருவல் (Path Traversal) – எவ்விதமான கோப்பையும் எழுத அனுமதிக்கும் (Arbitrary Write) பாதிப்பு — download_ephemeral, download_children ( ஏஜென்ட்) — CVE-2025-35430(புதிய சாளரத்தில் திறக்கும்)
- LDAP இன்ஜெக்ஷன் (வடிகட்டிகள் & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(புதிய சாளரத்தில் திறக்கும்)
- அங்கீகரிக்கப்படாத DoS & மின்னஞ்சல் தவறான பயன்பாடு — resend_email_verification — CVE-2025-35432(புதிய சாளரத்தில் திறக்கும்) , CVE-2025-35436(புதிய சாளரத்தில் திறக்கும்)
- கடவுச்சொல் மாற்றத்தின் போது அமர்வு சுழற்றப்படவில்லை — User::update_user — CVE-2025-35433(புதிய சாளரத்தில் திறக்கும்)
- முடக்கப்பட்ட TLS சரிபார்ப்பு — Elasticsearch கிளையண்ட் — CVE-2025-35434(புதிய சாளரத்தில் திறக்கும்)
- DoS: பூஜ்ஜியத்தால் வகுத்தல் — /api/streams/depth/.../{split} — CVE-2025-35435(புதிய சாளரத்தில் திறக்கும்)
- gpg- ஏஜென்ட் PKDECRYPT --kem=CMS (ECC KEM) மூலம் ஸ்டாக் பஃபர் ஓவர்ஃப்ளோ — CVE-2026-24881(புதிய சாளரத்தில் திறக்கும்)
- சைபர் உரை நீளச் சரிபார்ப்பு இல்லாததால் RSA மற்றும் ECC க்கான TPM2 PKDECRYPT இல் ஸ்டாக்-அடிப்படையிலான பஃபர் ஓவர்ஃப்ளோ — CVE-2026-24882(புதிய சாளரத்தில் திறக்கும்)
- CMS/PKCS7 AES-GCM ASN.1 அளவுருக்கள் ஸ்டாக் பஃபர் ஓவர்ஃப்ளோ — CVE-2025-15467(புதிய சாளரத்தில் திறக்கும்)
- PKCS#12 PBMAC1 PBKDF2 keyLength ஓவர்ஃப்ளோ + MAC பைபாஸ் — CVE-2025-11187(புதிய சாளரத்தில் திறக்கும்)
