Codex Security เปิดให้ทดลองใช้งานแล้วในเวอร์ชันพรีวิวระหว่างการพัฒนา
ขอแนะนำ Codex Security เอเจนต์ด้านความปลอดภัยของแอปพลิเคชันของเรา Codex Security วิเคราะห์บริบทของโปรเจกต์ของคุณอย่างละเอียด เพื่อช่วยระบุช่องโหว่ที่ซับซ้อนซึ่งเครื่องมือแบบเอเจนต์อื่นอาจมองไม่เห็น พร้อมรายงานสิ่งที่ตรวจพบด้วยความมั่นใจสูงขึ้น และเสนอแนวทางแก้ไขที่ช่วยยกระดับความปลอดภัยของระบบได้อย่างชัดเจน โดยไม่ทำให้คุณต้องเสียเวลากับบั๊กเล็กน้อยที่แทบไม่มีผลกระทบ
การเข้าใจบริบทของโปรเจกต์มีความสำคัญอย่างมากในการประเมินความเสี่ยงด้านความปลอดภัยที่แท้จริง แต่เครื่องมือ AI ด้านความปลอดภัยส่วนใหญ่กลับแจ้งผลการตรวจพบที่มีผลกระทบต่ำหรือเป็น false positive ทำให้ทีมความปลอดภัยต้องใช้เวลาจำนวนมากในการคัดกรอง ในขณะเดียวกัน เอเจนต์ต่างๆ ก็กำลังเร่งการพัฒนาซอฟต์แวร์ ทำให้การตรวจสอบด้านความปลอดภัยกลายเป็นคอขวดสำคัญมากขึ้นเรื่อยๆ
Codex Security ได้รับการออกแบบมาเพื่อรับมือกับความท้าทายทั้งสองนี้ โดยใช้การให้เหตุผลแบบเอเจนต์จากโมเดลระดับแนวหน้าของเรา ร่วมกับการตรวจสอบแบบอัตโนมัติ Codex Security สามารถรายงานสิ่งที่ตรวจพบด้วยความมั่นใจสูง พร้อมเสนอแนวทางแก้ไขที่นำไปใช้ได้จริง เพื่อให้ทีมสามารถโฟกัสกับช่องโหว่ที่สำคัญ และส่งมอบโค้ดที่ปลอดภัยได้เร็วขึ้น
Codex Security เคยใช้ชื่อว่า Aardvark และได้เริ่มเปิดให้ลูกค้ากลุ่มเล็กทดลองใช้งานแบบ private beta ตั้งแต่ปีที่แล้ว ในการใช้งานภายในช่วงแรก Codex Security ตรวจพบทั้งช่องโหว่ SSRF ที่เกิดขึ้นจริง ช่องโหว่ด้านการยืนยันตัวตนข้ามเทนเนนต์ระดับวิกฤต และปัญหาอื่นๆ อีกหลายรายการ ซึ่งทีมความปลอดภัยของเราแก้ไขได้ภายในไม่กี่ชั่วโมง การทดลองใช้งานช่วงแรกกับผู้ทดสอบภายนอกช่วยให้เราปรับปรุงวิธีที่ผู้ใช้ระบุข้อมูลเกี่ยวกับโปรเจกต์ของตน และทำให้ขั้นตอนตั้งแต่เริ่มต้นใช้งานไปจนถึงการตรวจสอบความปลอดภัยของโค้ดทำได้ง่ายขึ้น ตลอดช่วงเบต้า เรายังปรับปรุงความแม่นยำของผลการตรวจพบอย่างต่อเนื่อง การสแกน repository เดียวกันในช่วงเวลาที่ต่างกันแสดงให้เห็นว่าความแม่นยำเพิ่มขึ้นอย่างชัดเจน โดยในบางกรณีสามารถลดสัญญาณรบกวนลงได้ถึง 84% เมื่อเทียบกับช่วงเปิดใช้งานครั้งแรก เรายังลดสัดส่วนของรายการที่ตรวจพบซึ่งถูกจัดระดับความรุนแรงสูงเกินจริงลงมากกว่า 90% และลดอัตรา false positive ลงกว่า 50% ในทุก repository การปรับปรุงเหล่านี้ช่วยให้ Codex Security ประเมินระดับความรุนแรงได้ตรงกับความเสี่ยงจริงมากขึ้น ลดภาระการคัดกรองของทีมความปลอดภัย และเราคาดว่าสัดส่วนสัญญาณต่อสัญญาณรบกวนจะดีขึ้นอย่างต่อเนื่องเมื่อมีการพัฒนาเพิ่มเติม
Codex Security เริ่มทยอยเปิดให้ผู้ใช้ ChatGPT Enterprise, Business และ Edu ใช้งานผ่าน Codex web ได้ตั้งแต่วันนี้ พร้อมให้ใช้งานได้ฟรีตลอดเดือนถัดไป
Codex Security ใช้โมเดลระดับแนวหน้าของ OpenAI ร่วมกับเอเจนต์ Codex เพื่อช่วยลดสัญญาณรบกวนและเร่งการแก้ไขช่องโหว่ โดยอาศัยบริบทเฉพาะของระบบในการค้นหา ตรวจสอบ และแพตช์ช่องโหว่
- สร้างบริบทของระบบและโมเดลภัยคุกคามที่แก้ไขได้: หลังจากตั้งค่าการสแกน Codex Security จะวิเคราะห์ repository ของคุณเพื่อทำความเข้าใจโครงสร้างของระบบในมุมมองด้านความปลอดภัย และสร้างโมเดลภัยคุกคามเฉพาะสำหรับโปรเจกต์นั้น เพื่ออธิบายว่าระบบทำอะไร ไว้วางใจองค์ประกอบใด และมีจุดเสี่ยงอยู่ตรงไหน โดยโมเดลภัยคุกคามสามารถแก้ไขได้ เพื่อให้เอเจนต์ทำงานสอดคล้องกับแนวทางของทีมคุณ
- จัดลำดับความสำคัญและตรวจสอบปัญหา: Codex Security ใช้โมเดลภัยคุกคามเป็นบริบทในการค้นหาและวิเคราะห์ช่องโหว่ พร้อมจัดหมวดหมู่รายการที่ตรวจพบตามผลกระทบที่คาดว่าจะเกิดขึ้นจริงกับระบบของคุณ ระบบจะทดสอบรายการที่พบใน sandbox สำหรับการตรวจสอบ เพื่อแยกสัญญาณที่สำคัญออกจากสัญญาณรบกวน หากสามารถทำได้ ผู้ใช้สามารถดูผลการวิเคราะห์นี้ได้ในรายการที่ตรวจสอบแล้ว เมื่อ Codex Security ถูกตั้งค่าให้ทำงานในสภาพแวดล้อมที่ปรับให้เหมาะกับโปรเจกต์ของคุณแล้ว ระบบจะสามารถตรวจยืนยันปัญหาที่อาจเกิดขึ้นได้โดยตรงในระบบที่กำลังทำงานอยู่ การตรวจสอบเชิงลึกช่วยลด false positive ลงได้อีก และช่วยให้สามารถสร้าง proof-of-concept ที่ใช้งานได้จริง ทำให้ทีมความปลอดภัยมีหลักฐานที่น่าเชื่อถือมากขึ้น และมองเห็นแนวทางแก้ไขปัญหาได้ชัดขึ้น
- แก้ไขปัญหาโดยอิงบริบทของระบบทั้งหมด: Codex Security จะเสนอแนวทางแก้ไขสำหรับปัญหาที่ตรวจพบให้สอดคล้องกับการทำงานของระบบและส่วนอื่นๆ ที่เกี่ยวข้อง แนวทางนี้ช่วยให้สร้างแพตช์ที่เพิ่มความปลอดภัยได้ พร้อมลดความเสี่ยงของ regression ลง ทำให้รีวิวและนำไปใช้ได้อย่างปลอดภัยมากขึ้น โดยผู้ใช้สามารถกรองรายการที่ตรวจพบเพื่อโฟกัสเฉพาะประเด็นที่สำคัญต่อทีมและมีผลต่อความปลอดภัยสูงที่สุด
Codex Security ยังสามารถเรียนรู้จากฟีดแบ็กของคุณเมื่อใช้งานไปเรื่อยๆ เพื่อปรับปรุงคุณภาพของรายการที่ตรวจพบให้ดีขึ้น เมื่อคุณปรับระดับความรุนแรงของรายการที่ตรวจพบ ระบบจะใช้ฟีดแบ็กนั้นในการปรับปรุงโมเดลภัยคุกคาม และเพิ่มความแม่นยำในการสแกนครั้งถัดไป พร้อมเรียนรู้ว่าอะไรสำคัญต่อสถาปัตยกรรมและระดับความเสี่ยงของระบบ
ออกแบบมาให้ทำงานได้ในระดับสเกลใหญ่ คัดกรองรายการที่ตรวจพบที่มีความมั่นใจสูง พร้อมเสนอแพตช์ที่ตรวจสอบและนำไปใช้ได้ง่าย ในช่วง 30 วันที่ผ่านมา Codex Security สแกน commit มากกว่า 1.2 ล้านรายการใน external repository ของกลุ่มผู้ใช้เบต้า โดยตรวจพบปัญหาระดับวิกฤต 792 รายการ และระดับความรุนแรงสูงอีก 10,561 รายการ ปัญหาระดับวิกฤตพบใน commit ที่สแกนน้อยกว่า 0.1% แสดงให้เห็นว่าระบบสามารถตรวจจับปัญหาด้านความปลอดภัยในโค้ดจำนวนมากได้ พร้อมลดสัญญาณรบกวนในการรีวิว
"ในฐานะบริษัทที่ให้ความสำคัญกับความปลอดภัยของผลิตภัณฑ์เป็นอย่างมาก NETGEAR รู้สึกยินดีที่ได้เข้าร่วมโปรแกรม Early Access และผลลัพธ์ที่ได้ก็ถือว่าเกินความคาดหวังของเรามาก Codex Security สามารถทำงานร่วมกับสภาพแวดล้อมการพัฒนาด้านความปลอดภัยของเราได้เป็นอย่างดี ช่วยเพิ่มทั้งความเร็วและความละเอียดของกระบวนการตรวจสอบของเรา ผลการวิเคราะห์มีความชัดเจนและครอบคลุมมาก เหมือนมีนักวิจัยด้านความปลอดภัยของผลิตภัณฑ์ที่มีประสบการณ์มาช่วยทำงานด้วย”
ซอฟต์แวร์โอเพนซอร์สเป็นแกนสำคัญของระบบสมัยใหม่จำนวนมาก ซึ่งรวมถึงระบบของเราด้วย เราใช้ Codex Security สแกน repository โอเพนซอร์สที่เราใช้งานเป็นหลัก และแชร์ผลการตรวจพบด้านความปลอดภัยที่มีผลกระทบสูงให้ผู้ดูแลโปรเจกต์ เพื่อช่วยให้ซอฟต์แวร์โอเพนซอร์สที่เราใช้งานมีความปลอดภัยมากขึ้น
จากการพูดคุยกับผู้ดูแลโปรเจกต์โอเพนซอร์ส เราพบว่าหลายคนพูดตรงกันว่า ปัญหาไม่ได้อยู่ที่รายงานช่องโหว่น้อยเกินไป แต่เป็นเพราะมีรายงานคุณภาพต่ำมากเกินไป พวกเขาต้องการ false positive ที่น้อยลง และวิธีที่ช่วยให้ค้นหาปัญหาด้านความปลอดภัยจริงได้ โดยไม่เพิ่มภาระในการคัดกรอง บทสนทนาเหล่านี้มีส่วนสำคัญในการกำหนดแนวทางที่เราใช้พัฒนา Codex Security เพื่อสนับสนุนชุมชนโอเพนซอร์ส แทนที่จะสร้างรายการที่ตรวจพบเชิงคาดเดาจำนวนมาก เรากำลังสร้างระบบที่ให้ความสำคัญกับปัญหาที่มีความน่าเชื่อถือสูง ซึ่งผู้ดูแลโปรเจกต์สามารถนำไปจัดการได้ทันที
ระหว่างการพัฒนานี้ เราได้รายงานช่องโหว่ระดับวิกฤตให้กับโปรเจกต์โอเพนซอร์สที่มีการใช้งานอย่างแพร่หลายหลายรายการ เช่น OpenSSH(เปิดในหน้าต่างใหม่), GnuTLS(เปิดในหน้าต่างใหม่), GOGS(เปิดในหน้าต่างใหม่), Thorium(เปิดในหน้าต่างใหม่) libssh, PHP และ Chromium มีการกำหนด CVE แล้ว 14 รายการ โดยมีการรายงานซ้ำซ้อนในสองรายการ ซึ่ง เราได้ยกตัวอย่างบางส่วนมาไว้ในภาคผนวก
เมื่อไม่นานมานี้ เราเริ่มเปิดให้ผู้ดูแลโปรเจกต์โอเพนซอร์สบางส่วนเข้าร่วม Codex for OSS ซึ่งเป็นโครงการที่มอบบัญชี ChatGPT Pro และ Plus แบบไม่มีค่าใช้จ่าย พร้อมเครื่องมือรีวิวโค้ดและ Codex Security เพื่อสนับสนุนชุมชนโอเพนซอร์ส โดยโปรเจกต์อย่าง vLLM ได้นำ Codex Security ไปใช้ค้นหาและแก้ไขปัญหาในเวิร์กโฟลว์ตามปกติแล้ว
ในอีกไม่กี่สัปดาห์ข้างหน้า เรามีแผนขยายโครงการนี้ เพื่อเปิดโอกาสให้ผู้ดูแลโปรเจกต์โอเพนซอร์สเข้าร่วมได้มากขึ้น พร้อมเครื่องมือที่ช่วยเพิ่มความปลอดภัย ปรับปรุงเวิร์กโฟลว์การรีวิว และสนับสนุนงานโอเพนซอร์สที่ผู้คนจำนวนมากใช้งาน โปรดติดต่อเรา หากคุณเป็นผู้ดูแลโปรเจกต์โอเพนซอร์สและสนใจเข้าร่วมโปรแกรม
เราจะทยอยเปิดให้ผู้ใช้ ChatGPT Enterprise, Business และ Edu สามารถใช้งาน Codex Security ในช่วงไม่กี่วันข้างหน้า โปรดดู เอกสาร(เปิดในหน้าต่างใหม่) เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการตั้งค่า Codex Security สำหรับทีมของคุณ
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(เปิดในหน้าต่างใหม่)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(เปิดในหน้าต่างใหม่)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(เปิดในหน้าต่างใหม่)
- 2FA Bypass GOGS — CVE-2025-64175(เปิดในหน้าต่างใหม่)
- Unauth bypass GOGS — CVE-2026-25242(เปิดในหน้าต่างใหม่)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(เปิดในหน้าต่างใหม่)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(เปิดในหน้าต่างใหม่)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(เปิดในหน้าต่างใหม่) , CVE-2025-35436(เปิดในหน้าต่างใหม่)
- Session not rotated on password change — User::update_user — CVE-2025-35433(เปิดในหน้าต่างใหม่)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(เปิดในหน้าต่างใหม่)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(เปิดในหน้าต่างใหม่)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(เปิดในหน้าต่างใหม่)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(เปิดในหน้าต่างใหม่)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(เปิดในหน้าต่างใหม่)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(เปิดในหน้าต่างใหม่)
