Codex Security ఇప్పుడు రీసెర్చ్ ప్రివ్యూ రూపంలో అందుబాటులో ఉంది
ఈ రోజు మేము మా అప్లికేషన్ సెక్యూరిటీ ఏజెంట్ అయిన Codex Securityను పరిచయం చేస్తున్నాం. ఇది మీ ప్రాజెక్ట్ గురించి లోతైన కాంటెక్స్ట్ను నిర్మించి, ఇతర ఏజెంటిక్ టూల్స్ మిస్ చేసే క్లిష్టమైన వల్నరబిలిటీస్ను గుర్తిస్తుంది. అలాగే అధిక విశ్వసనీయత కలిగిన ఫైండింగ్స్తో పాటు, మీ సిస్టమ్ సెక్యూరిటీని నిజంగా మెరుగుపరిచే ఫిక్స్లను సూచిస్తూ, ప్రాముఖ్యతలేని బగ్స్ వల్ల వచ్చే అనవసర శబ్దం నుంచి మిమ్మల్ని దూరంగా ఉంచుతుంది.
నిజమైన సెక్యూరిటీ రిస్క్లను అంచనా వేయడానికి కాంటెక్స్ట్ చాలా ముఖ్యమైనది, కానీ ఎక్కువగా ఉన్న AI సెక్యూరిటీ టూల్స్ తక్కువ ప్రభావం ఉన్న ఫైండింగ్స్ మరియు ఫాల్స్ పాజిటివ్లను మాత్రమే ఫ్లాగ్ చేస్తాయి, దీంతో సెక్యూరిటీ టీమ్లు ట్రయాజ్పై ఎక్కువ సమయం ఖర్చు చేయాల్సి వస్తుంది. ఇదే సమయంలో, ఏజెంట్లు సాఫ్ట్వేర్ డెవలప్మెంట్ను వేగవంతం చేస్తున్నాయి, దీంతో సెక్యూరిటీ రివ్యూ మరింత కీలకమైన బాటిల్నెక్గా మారుతోంది.
Codex Security ఈ రెండు సవాళ్లను పరిష్కరిస్తుంది. మా అత్యాధునిక మోడల్స్లోని ఏజెంటిక్ రీజనింగ్ను ఆటోమేటెడ్ వాలిడేషన్తో కలిపి, ఇది అధిక విశ్వసనీయత కలిగిన ఫైండింగ్స్ మరియు అమలు చేయగల ఫిక్స్లను అందిస్తుంది. దీంతో టీమ్లు నిజంగా ముఖ్యమైన వల్నరబిలిటీస్పై దృష్టి పెట్టి, సెక్యూర్ కోడ్ను మరింత వేగంగా షిప్ చేయగలుగుతాయి.
ముందుగా Aardvarkగా పిలువబడిన Codex Security, గత సంవత్సరం చిన్న కస్టమర్ల సమూహంతో ప్రైవేట్ బీటాగా ప్రారంభమైంది. ప్రారంభ అంతర్గత డిప్లాయ్మెంట్లలో, ఇది నిజమైన SSRF, ఒక కీలకమైన క్రాస్-టెనెంట్ ఆథెంటికేషన్ వల్నరబిలిటీ, అలాగే మరెన్నో సమస్యలను గుర్తించింది, వాటిని మా సెక్యూరిటీ టీమ్ కొన్ని గంటల్లోనే ప్యాచ్ చేసింది. బాహ్య టెస్టర్లతో చేసిన ప్రారంభ డిప్లాయ్మెంట్లు, వినియోగదారులు సంబంధిత ప్రోడక్ట్ కాంటెక్స్ట్ను ఎలా అందించాలి మరియు ఆన్బోర్డింగ్ నుంచి తమ కోడ్ను సురక్షితంగా చేయడానికి ఎలా ముందుకు వెళ్లాలి అనే ప్రక్రియను మెరుగుపరచడంలో మాకు సహాయపడ్డాయి బీటా సమయంలో మా ఫైండింగ్స్ నాణ్యతను కూడా గణనీయంగా మెరుగుపరిచాము: అదే రిపాజిటరీలపై కాలక్రమంలో చేసిన స్కాన్లు పెరుగుతున్న ప్రిసిషన్ను చూపించాయి, ఒక సందర్భంలో ప్రారంభ రోలౌట్తో పోలిస్తే నాయిస్ను 84% వరకు తగ్గించాయి. అతిగా సీరియస్గా రిపోర్ట్ చేయబడిన ఫైండింగ్స్ రేటును మేము 90% కంటే ఎక్కువగా తగ్గించాము, అలాగే అన్ని రిపాజిటరీలలో డిటెక్షన్లలో ఫాల్స్ పాజిటివ్ రేట్లు 50% కంటే ఎక్కువగా తగ్గాయి. ఈ మెరుగుదలలు Codex Securityకు రిపోర్ట్ చేయబడిన సీరియస్నెస్ను నిజమైన రియల్-వరల్డ్ రిస్క్తో మెరుగుగా సరిపోల్చడంలో సహాయపడతాయి మరియు సెక్యూరిటీ టీమ్లపై అనవసరమైన ట్రయాజ్ భారాన్ని తగ్గిస్తాయి. అలాగే, మరింత పెట్టుబడితో సిగ్నల్-టు-నాయిస్ రేషియో ఇంకా మెరుగుపడుతుందని మేము ఆశిస్తున్నాము.
ఈ రోజు నుంచి Codex Security, Codex వెబ్ ద్వారా ChatGPT Enterprise, Business, మరియు Edu కస్టమర్లకు రోల్ అవుట్ అవుతోంది, మరియు వచ్చే ఒక నెల పాటు ఉచిత వినియోగంతో అందుబాటులో ఉంటుంది.
Codex Security OpenAI యొక్క అత్యాధునిక మోడల్లు మరియు Codex ఏజెంట్ను వినియోగిస్తుంది. సిస్టమ్కు ప్రత్యేకమైన కాంటెక్స్ట్లో వల్నరబిలిటీ గుర్తింపు, వాలిడేషన్, మరియు ప్యాచింగ్ను ఆధారంగా చేసుకొని, ఇది నాయిస్ను తగ్గించి రిమీడియేషన్ ప్రక్రియను వేగవంతం చేస్తుంది.
- సిస్టమ్ కాంటెక్స్ట్ను నిర్మించి ఎడిట్ చేయగల థ్రెట్ మోడల్ను సృష్టించండి: స్కాన్ను కాన్ఫిగర్ చేసిన తర్వాత, ఇది మీ రిపాజిటరీని విశ్లేషించి సిస్టమ్లో సెక్యూరిటీకి సంబంధించిన నిర్మాణాన్ని అర్థం చేసుకుంటుంది మరియు సిస్టమ్ ఏమి చేస్తుంది, అది ఎవరిని నమ్ముతుంది, మరియు ఎక్కడ ఎక్కువగా ఎక్స్పోజ్ అయి ఉందో పట్టుకునే ప్రాజెక్ట్-స్పెసిఫిక్ థ్రెట్ మోడల్ను రూపొందిస్తుంది. మీ టీమ్తో ఏజెంట్ సరిపోలేలా ఉండేందుకు థ్రెట్ మోడల్స్ను ఎడిట్ చేయవచ్చు.
- సమస్యలను ప్రాధాన్యక్రమంలో ఉంచి వాలిడేట్ చేయండి: థ్రెట్ మోడల్ను కాంటెక్స్ట్గా ఉపయోగించి, ఇది వల్నరబిలిటీస్ కోసం శోధించి, మీ సిస్టమ్లో ఉండే ఆశించిన రియల్-వరల్డ్ ప్రభావం ఆధారంగా ఫైండింగ్స్ను వర్గీకరిస్తుంది. సాధ్యమైన చోట్ల, సిగ్నల్ను నాయిస్ నుంచి వేరు చేయడానికి ఇది సాండ్బాక్స్డ్ వాలిడేషన్ ఎన్విరాన్మెంట్లలో ఫైండింగ్స్ను ప్రెషర్-టెస్ట్ చేస్తుంది. వినియోగదారులు ఈ అనాలిసిస్ను వాలిడేటెడ్ ఫైండింగ్స్లో చూడవచ్చు. మీ ప్రాజెక్ట్కు అనుగుణంగా రూపొందించిన ఎన్విరాన్మెంట్తో Codex Securityను కాన్ఫిగర్ చేసినప్పుడు, ఇది నడుస్తున్న సిస్టమ్ కాంటెక్స్ట్లోనే సంభావ్య సమస్యలను నేరుగా వాలిడేట్ చేయగలదు. ఆ లోతైన వాలిడేషన్ ఫాల్స్ పాజిటివ్లను ఇంకా తగ్గించడంలో సహాయపడుతుంది మరియు పనిచేసే ప్రూఫ్-ఆఫ్-కాన్సెప్ట్లను సృష్టించేందుకు అవకాశం ఇస్తుంది, దీంతో సెక్యూరిటీ టీమ్లకు మరింత బలమైన ఆధారాలు మరియు రిమీడియేషన్కు స్పష్టమైన మార్గం లభిస్తుంది.
- పూర్తి సిస్టమ్ కాంటెక్స్ట్తో సమస్యలను ప్యాచ్ చేయండి: చివరిగా, Codex Security గుర్తించిన సమస్యలకు సిస్టమ్ ఉద్దేశ్యం మరియు చుట్టూ ఉన్న ప్రవర్తనతో సరిపోయే ఫిక్స్లను సూచిస్తుంది. దీనివల్ల సెక్యూరిటీని మెరుగుపరుస్తూ రిగ్రెషన్లను కనిష్ట స్థాయిలో ఉంచే ప్యాచ్లు సాధ్యమవుతాయి, దీంతో వాటిని రివ్యూ చేయడం మరియు కోడ్లో చేర్చడం మరింత సురక్షితంగా ఉంటుంది. వినియోగదారులు ఫైండింగ్స్ను ఫిల్టర్ చేసుకుని, తమ టీమ్కు అత్యంత ముఖ్యమైనవి మరియు అత్యధిక సెక్యూరిటీ ప్రభావం కలిగిన వాటిపై దృష్టి పెట్టవచ్చు.
కాలక్రమంలో మీ ఫీడ్బ్యాక్ నుంచి నేర్చుకుంటూ, Codex Security తన ఫైండింగ్స్ నాణ్యతను మరింత మెరుగుపరుచుకోగలదు. మీరు ఒక ఫైండింగ్ యొక్క క్రిటికాలిటీని సర్దుబాటు చేసినప్పుడు, ఆ ఫీడ్బ్యాక్ను ఉపయోగించి ఇది థ్రెట్ మోడల్ను మెరుగుపరుచుకుని, మీ ఆర్కిటెక్చర్ మరియు రిస్క్ పోష్చర్లో ఏమి ముఖ్యమో నేర్చుకుంటూ తదుపరి రన్స్లో ప్రిసిషన్ను మెరుగుపరుస్తుంది.
ఇది స్కేల్లో పనిచేయడానికి రూపొందించబడింది మరియు సులభంగా అంగీకరించగల ప్యాచ్లతో అత్యధిక విశ్వసనీయత కలిగిన ఫైండింగ్స్ను చూపిస్తుంది. గత 30 రోజుల్లో, Codex Security మా బీటా కోహోర్ట్లోని బాహ్య రిపాజిటరీలలో 1.2 మిలియన్కు పైగా కమిట్లను స్కాన్ చేసి, 792 క్రిటికల్ ఫైండింగ్స్ మరియు 10,561 హై-సివెరిటీ ఫైండింగ్స్ను గుర్తించింది. స్కాన్ చేసిన కమిట్లలో 0.1% కంటే తక్కువలో మాత్రమే క్రిటికల్ సమస్యలు కనిపించాయి, ఇది పెద్ద మొత్తంలో కోడ్లో సెక్యూరిటీపై ప్రభావం చూపే సమస్యలను గుర్తిస్తూ, రివ్యూయర్లకు నాయిస్ను కనిష్టంగా ఉంచగల సామర్థ్యం ఈ సిస్టమ్కు ఉందని చూపిస్తుంది.
ప్రోడక్ట్ సెక్యూరిటీపై లేజర్-ఫోకస్తో పనిచేసే కంపెనీగా, NETGEAR ప్రారంభ యాక్సెస్ ప్రోగ్రామ్లో చేరడం పట్ల సంతోషించింది, మరియు వచ్చిన ఫలితాలు అంచనాలను మించాయి. Codex Security మా బలమైన సెక్యూరిటీ డెవలప్మెంట్ ఎన్విరాన్మెంట్లో ఎలాంటి ఇబ్బంది లేకుండా సులభంగా ఇంటిగ్రేట్ అయి, మా రివ్యూ ప్రాసెస్ల వేగం మరియు లోతును మరింత బలపరిచింది. దాని ఫైండింగ్స్ ఆశ్చర్యకరంగా స్పష్టంగా మరియు సమగ్రంగా ఉండి, అనుభవం ఉన్న ప్రోడక్ట్ సెక్యూరిటీ రీసెర్చర్ మా పక్కనే పనిచేస్తున్నట్టుగా అనిపించేవి.
మా సిస్టమ్లను కూడా కలుపుకుని, ఆధునిక సిస్టమ్లకు ఓపెన్ సోర్స్ సాఫ్ట్వేర్ పునాది అవుతుంది. మేము ఎక్కువగా ఆధారపడే ఓపెన్ సోర్స్ రిపాజిటరీలను స్కాన్ చేయడానికి Codex Securityను ఉపయోగిస్తూ, గుర్తించిన అధిక ప్రభావం కలిగిన సెక్యూరిటీ ఫైండింగ్స్ను మెయింటైనర్లతో పంచుకుని ఆ పునాదిని మరింత బలపరచడానికి సహాయపడుతున్నాం.
మెయింటైనర్లతో మా సంభాషణల్లో ఒక స్థిరమైన విషయం బయటపడింది: సవాలు వల్నరబిలిటీ రిపోర్ట్ల కొరత కాదు, కానీ తక్కువ నాణ్యత ఉన్న రిపోర్ట్లు చాలా ఎక్కువగా ఉండటమే. మెయింటైనర్లు మాకు చెప్పింది ఏమిటంటే: వారికి తక్కువ ఫాల్స్ పాజిటివ్లు కావాలి మరియు అదనపు ట్రయాజ్ భారం సృష్టించకుండా నిజమైన సెక్యూరిటీ సమస్యలను బయటకు తీసే మరింత స్థిరమైన మార్గం అవసరం. ఈ సంభాషణలు Codex Security ద్వారా ఓపెన్ సోర్స్ కమ్యూనిటీకి మేము ఎలా మద్దతు ఇస్తున్నామో రూపుదిద్దుకోవడంలో సహాయపడ్డాయి. ఊహాగానాలపై ఆధారపడిన భారీ సంఖ్యలో ఫైండింగ్స్ను సృష్టించడానికి బదులుగా, మెయింటైనర్లు త్వరగా చర్య తీసుకోగల అధిక విశ్వసనీయత కలిగిన సమస్యలకు ప్రాధాన్యత ఇచ్చే సిస్టమ్ను మేము రూపొందిస్తున్నాం.
ఈ పనిలో భాగంగా, విస్తృతంగా ఉపయోగించే అనేక ఓపెన్ సోర్స్ ప్రాజెక్ట్లకు క్రిటికల్ వల్నరబిలిటీస్ను మేము రిపోర్ట్ చేశాము, వాటిలో OpenSSH(కొత్త విండోలో తెరుచుకుంటుంది), GnuTLS(కొత్త విండోలో తెరుచుకుంటుంది), GOGS(కొత్త విండోలో తెరుచుకుంటుంది), Thorium(కొత్త విండోలో తెరుచుకుంటుంది), అలాగే libssh, PHP, మరియు Chromium వంటి ప్రాజెక్ట్లు ఉన్నాయి. మొత్తం పద్నాలుగు CVEs కేటాయించబడ్డాయి, వాటిలో రెండు కోసం డ్యూయల్ రిపోర్టింగ్ జరిగింది — కొన్ని ఉదాహరణలను మేము Appendixలో పంచుకున్నాం.
ఇటీవల మేము ఓపెన్ సోర్స్ మెయింటైనర్ల తొలి కోహోర్ట్ను Codex for OSSలో ఆన్బోర్డ్ చేయడం ప్రారంభించాము. ఇది ఎకోసిస్టమ్కు మద్దతుగా ఉచిత ChatGPT Pro మరియు Plus అకౌంట్స్, కోడ్ రివ్యూ, మరియు Codex Securityను అందించే మా ప్రోగ్రామ్. vLLM వంటి ప్రాజెక్టులు ఇప్పటికే తమ సాధారణ వర్క్ఫ్లోలో భాగంగా సమస్యలను గుర్తించి ప్యాచ్ చేయడానికి Codex Securityను ఉపయోగించాయి.
రాబోయే వారాల్లో ఈ ప్రోగ్రామ్ను విస్తరించాలని మేము ప్రణాళిక చేస్తున్నాం, తద్వారా మరింత మంది మెయింటైనర్లకు మెరుగైన సెక్యూరిటీ, బలమైన రివ్యూ వర్క్ఫ్లోలు, మరియు ఎకోసిస్టమ్ ఆధారపడే ఓపెన్ సోర్స్ పనికి మద్దతు పొందడానికి నేరుగా ఒక మార్గం లభిస్తుంది. మీరు ఓపెన్ సోర్స్ మెయింటైనర్ అయితే మరియు ఆసక్తి ఉంటే, దయచేసి సంప్రదించండి.
రాబోయే కొన్ని రోజుల్లో Codex Security యాక్సెస్ను ChatGPT Enterprise, Business, మరియు Edu కస్టమర్లకు రోల్ అవుట్ చేయనున్నాము. మీ టీమ్ కోసం Codex Securityను ఎలా సెటప్ చేయాలో మరింత తెలుసుకోవడానికి మా డాక్స్ను చూడండి(కొత్త విండోలో తెరుచుకుంటుంది).
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(కొత్త విండోలో తెరుచుకుంటుంది)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(కొత్త విండోలో తెరుచుకుంటుంది)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(కొత్త విండోలో తెరుచుకుంటుంది)
- 2FA Bypass GOGS — CVE-2025-64175(కొత్త విండోలో తెరుచుకుంటుంది)
- Unauth bypass GOGS — CVE-2026-25242(కొత్త విండోలో తెరుచుకుంటుంది)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(కొత్త విండోలో తెరుచుకుంటుంది)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(కొత్త విండోలో తెరుచుకుంటుంది)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(కొత్త విండోలో తెరుచుకుంటుంది) , CVE-2025-35436(కొత్త విండోలో తెరుచుకుంటుంది)
- Session not rotated on password change — User::update_user — CVE-2025-35433(కొత్త విండోలో తెరుచుకుంటుంది)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(కొత్త విండోలో తెరుచుకుంటుంది)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(కొత్త విండోలో తెరుచుకుంటుంది)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(కొత్త విండోలో తెరుచుకుంటుంది)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(కొత్త విండోలో తెరుచుకుంటుంది)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(కొత్త విండోలో తెరుచుకుంటుంది)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(కొత్త విండోలో తెరుచుకుంటుంది)
