Codex Security artık araştırma önizlemesi kapsamında kullanıma sunulmuştur.

Bugün, uygulama güvenliği otonom ajanımız Codex Security'yi tanıtıyoruz. Codex Security, diğer otonom ajan tabanlı araçların gözden kaçırdığı karmaşık güvenlik açıklarını tespit edebilmek için projeniz hakkında derin bir bağlam oluşturur. Sisteminizin güvenliğini anlamlı biçimde güçlendiren düzeltmelerle birlikte, daha yüksek güven düzeyine sahip bulgular sunar ve sizi önemsiz hataların yarattığı gürültüden korur.

Gerçek güvenlik risklerini değerlendirmede bağlam kritik öneme sahiptir. Ancak birçok yapay zeka destekli güvenlik aracı, düşük etkili bulgular ve yanlış pozitifler üretir; bu da güvenlik ekiplerinin triyaj sürecine ciddi zaman ayırmasına yol açar. Öte yandan, otonom ajanlar yazılım geliştirmeyi hızlandırırken güvenlik incelemesi giderek daha kritik bir darboğaz haline gelmektedir.

Codex Security bu iki sorunu birlikte ele alır. Frontier modellerimizin otonom ajan tabanlı akıl yürütme yeteneklerini otomatik doğrulama mekanizmalarıyla birleştirerek, yüksek güven düzeyine sahip bulgular ve uygulanabilir düzeltmeler sunar. Böylece ekipler gerçekten önemli güvenlik açıklarına odaklanabilir ve güvenli kodu daha hızlı yayınlayabilir.

Daha önce Aardvark⁠ adıyla bilinen Codex Security, geçen yıl küçük bir müşteri grubuyla özel beta olarak başladı. Kurum içi erken devreye alımlarda; gerçek bir SSRF açığını, kritik bir kiracılar arası kimlik doğrulama güvenlik açığını ve güvenlik ekibimizin saatler içinde yama oluşturduğu birçok başka sorunu ortaya çıkardı. Kurum dışı test kullanıcılarıyla yapılan ilk devreye alımlar, kullanıcıların ilgili ürün bağlamını sisteme nasıl daha etkili biçimde aktarabileceğini geliştirmemize ve ilk katılım sürecinden kod güvenliğinin sağlanmasına geçiş sürecini iyileştirmemize yardımcı oldu. Beta süreci boyunca bulguların kalitesinde kayda değer iyileşmeler sağladık. Aynı depolarda zaman içinde gerçekleştirilen taramalar gittikçe artan hassasiyet gösterdi; bir vakada ilk lansmandan bu yana gereksiz gürültü %84 oranında azaltıldı.  Aşırı önem derecesi atanan bulguların oranını %90'dan fazla düşürdük; yanlış pozitif oranları ise tüm depolarda %50'nin üzerinde azaldı. Bu iyileştirmeler, Codex Security'nin raporlanan önem derecelerini gerçek dünya riskleriyle daha doğru biçimde hizalamasına ve güvenlik ekipleri üzerindeki gereksiz triyaj yükünü azaltmasına yardımcı olmaktadır. Ayrıca sinyal-gürültü oranının, yapılacak ek yatırımlarla daha da iyileşmesini bekliyoruz.

Bugünden itibaren Codex Security, Codex web üzerinden ChatGPT Enterprise, Business ve Edu müşterilerine sunulmaya başlanmaktadır ve önümüzdeki ay boyunca ücretsiz kullanım sağlanacaktır.

Codex Security, OpenAI'ın en üst seviye modellerini ve Codex otonom ajanını kullanır. Güvenlik açığı keşfi, doğrulama ve yama oluşturma süreçlerini sistemin kendine özgü bağlamına dayandırarak gereksiz gürültüyü azaltır ve düzeltme sürecini hızlandırır.

1. Sistem bağlamı oluşturur ve düzenlenebilir bir tehdit modeli üretir: Bir tarama yapılandırıldıktan sonra, güvenlikle ilgili sistem mimarisini anlamak üzere depoyu analiz eder ve sistemin ne yaptığını, hangi bileşenlere güvendiğini ve en çok hangi alanlarda risk barındırdığını yansıtan projeye özgü bir tehdit modeli oluşturur." Tehdit modelleri, otonom ajanın ekibinizle uyumlu kalmasını sağlamak için düzenlenebilir.
2. Sorunları önceliklendirir ve doğrular: Tehdit modelini bağlam olarak kullanarak güvenlik açıklarını tespit eder ve bulguları, sisteminizdeki olası gerçek dünya etkilerine göre kategorize eder. Mümkün olduğunda, sinyali gürültüden ayırmak için bulguları sandbox doğrulama ortamlarında stres testine tabi tutar. Kullanıcılar, doğrulanmış bulgular bölümünde bu analizi görüntüleyebilir. Codex Security, projenize özgü bir ortamla yapılandırıldığında, potansiyel sorunları doğrudan, çalışan sistem bağlamında doğrulayabilir. Bu daha derin doğrulama, yanlış pozitifleri daha da azaltabilir ve çalışan kavram kanıtlarının oluşturulmasını sağlayarak güvenlik ekiplerine daha güçlü kanıtlar ve düzeltme süreci için daha net bir yol sunar.
3. Sorunları tam sistem bağlamında yamalar: Codex Security, keşfedilen sorunlara sistemin amacı ve çevresel davranışıyla uyumlu düzeltmeler önerir. Bu yaklaşım, regresyon riskini en aza indirirken güvenliği artıran yamaların oluşturulmasını sağlar ve bu yamaların incelenmesini ve uygulanmasını daha güvenli hale getirir. Kullanıcılar, ekipleri için en kritik ve en yüksek güvenlik etkisine sahip bulgulara odaklanabilmek amacıyla filtreleme yapabilir.

Codex Security ayrıca zaman içinde kullanıcı geri bildirimlerinden öğrenerek bulgularının kalitesini artırır. Bir bulgunun önem derecesi ayarlandığında bu geri bildirim, tehdit modelini iyileştirmek ve sonraki çalıştırmalarda daha yüksek hassasiyet sağlamak için kullanılır. Böylece sistem, mimarinizde ve risk profilinizde neyin gerçekten önemli olduğunu öğrenir.

Sistem; ölçekli çalışacak, yüksek güven düzeyine sahip bulguları öne çıkaracak ve kolayca benimsenebilecek yamalar üretecek şekilde tasarlanmıştır. Son 30 gün içinde Codex Security, beta grubumuzdaki harici depolarda 1,2 milyondan fazla commit'i tarayarak 792 kritik ve 10.561 yüksek önem dereceli bulgu tespit etti. Kritik sorunlar, taranan commit'lerin %0,1'inden daha azında ortaya çıktı. Bu da sistemin, büyük hacimli kod tabanlarında güvenliği etkileyen sorunları tespit ederken inceleme ekipleri için gereksiz gürültüyü en aza indirdiğini göstermektedir.

Açık kaynak yazılım, bizim sistemlerimiz de dahil olmak üzere modern sistemlerin temelini oluşturur. En çok güvendiğimiz açık kaynak depolarını taramak için Codex Security'yi kullanıyor ve tespit ettiğimiz yüksek etkili güvenlik bulgularını, bu temeli daha da güçlendirmek amacıyla proje yöneticileriyle paylaşıyoruz.

Proje yöneticileriyle yaptığımız görüşmelerde ortak bir tema öne çıktı: Sorun, güvenlik açığı raporlarının yetersizliği değil, düşük kaliteli raporların fazlalığı. Proje yöneticileri, daha az yanlış pozitif üreten ve ek triyaj yükü oluşturmadan gerçek güvenlik sorunlarını ortaya çıkaran daha sürdürülebilir bir yaklaşım talep ettiklerini belirtti. Bu geri bildirimler, Codex Security ile açık kaynak topluluğunu nasıl desteklediğimizi şekillendirdi. Spekülatif bulguları yüksek hacimlerde üretmek yerine, proje yöneticilerinin hızlıca aksiyon alabileceği yüksek güven düzeyine sahip sorunları önceliklendiren bir sistem geliştiriyoruz.

Bu çalışmalar kapsamında OpenSSH⁠(yeni bir pencerede açılır), GnuTLS⁠(yeni bir pencerede açılır), GOGS⁠(yeni bir pencerede açılır), Thorium⁠(yeni bir pencerede açılır) libssh, PHP ve Chromium dahil olmak üzere yaygın şekilde kullanılan birçok açık kaynak projeye kritik güvenlik açıkları bildirdik. Toplam on dört CVE atandı; bunlardan ikisi çift taraflı raporlama ile kayda geçti - bazı örnekleri Ek bölümünde paylaştık.

Yakın zamanda, açık kaynak ekosistemini ücretsiz ChatGPT Pro ve Plus hesapları, kod inceleme ve Codex Security ile desteklemek amacıyla başlattığımız Codex for OSS programı kapsamında ilk açık kaynak proje yöneticileri grubunu sisteme dahil etmeye başladık. vLLM gibi projeler, Codex Security'yi normal iş akışlarının bir parçası olarak kullanarak sorunları tespit edip yama oluşturmaya şimdiden başladı.

Önümüzdeki haftalarda programı genişletmeyi planlıyoruz; böylece daha fazla proje yöneticisi daha güçlü güvenlik uygulamalarına, daha sağlam inceleme iş akışlarına ve ekosistemin dayandığı açık kaynak çalışmalarını desteklemek için doğrudan bir kanala erişebilecek. Eğer bir açık kaynak proje yöneticisiyseniz ve programa katılmakla ilgileniyorsanız lütfen bizimle iletişime geçin⁠.

Önümüzdeki günlerde Codex Security erişimini ChatGPT Enterprise, Business ve Edu müşterilerine sunmaya başlayacağız. Ekibiniz için Codex Security kurulumu hakkında daha fazla bilgi almak üzere belgelerimize⁠(yeni bir pencerede açılır) göz atın.

• GnuTLS certtool'da Heap Bellek Taşması (Off-by-One) - CVE-2025-32990⁠(yeni bir pencerede açılır)
• GnuTLS SCT Uzantı Ayrıştırmasında Sınır Dışı Heap Bellek Okuması - CVE-2025-32989⁠(yeni bir pencerede açılır)
• GnuTLS otherName SAN Dışa Aktarımında Double-Free Hatası - CVE-2025-32988⁠(yeni bir pencerede açılır)
• GOGS'ta 2FA Atlatma Açığı - CVE-2025-64175⁠(yeni bir pencerede açılır)
• GOGS'ta Kimlik Doğrulamasız Erişim Atlatma Açığı - CVE-2026-25242⁠(yeni bir pencerede açılır)
• Dizin geçişi (keyfi dosya yazma) - download_ephemeral, download_children (agent) - CVE-2025-35430⁠(yeni bir pencerede açılır)
• LDAP enjeksiyonu (filtreler ve DN) - LdapUserMap::new / get_unix_info / basic_auth_ldap - CVE-2025-35431⁠(yeni bir pencerede açılır)
• Kimlik doğrulamasız DoS ve e-posta kötüye kullanımı - resend_email_verification - CVE-2025-35432⁠(yeni bir pencerede açılır) , CVE-2025-35436⁠(yeni bir pencerede açılır)
• Parola değişikliğinde oturum döndürülmedi - resend_email_verification - CVE-2025-35432⁠(yeni bir pencerede açılır) , CVE-2025-35436
• TLS doğrulamasının devre dışı bırakılması - Elasticsearch istemcisi - CVE-2025-35434⁠(yeni bir pencerede açılır)
• DoS: sıfıra bölme hatası - /api/streams/depth/.../{split} - CVE-2025-35435⁠(yeni bir pencerede açılır)
• gpg-agent'te PKDECRYPT --kem=CMS (ECC KEM) işlemi sırasında yığın bellek taşması - CVE-2026-24881⁠(yeni bir pencerede açılır)
• Şifreli metin uzunluğu doğrulamasının eksikliği nedeniyle RSA ve ECC için TPM2 PKDECRYPT'te yığın tabanlı bellek taşması - CVE-2026-24882⁠(yeni bir pencerede açılır)
• CMS/PKCS7 AES-GCM ASN.1 parametrelerinde yığın bellek taşması - CVE-2025-15467⁠(yeni bir pencerede açılır)
• PKCS#12 PBMAC1 PBKDF2 keyLength taşması + MAC atlatması - CVE-2025-11187⁠(yeni bir pencerede açılır)