Сьогодні ми представляємо Codex Security, нашого агента з безпеки застосунків. Інструмент занурюється в контекст вашого проєкту, виявляє складні вразливості, які залишаються поза увагою інших агентних інструментів, і пропонує найбільш достовірні результати разом із виправленнями, що помітно підвищують безпеку системи, не відволікаючи увагу на незначні баги.
Контекст є вирішальним під час оцінювання реальних ризиків безпеки, однак більшість ШІ-інструментів безпеки лише сигналізують про малозначущі знахідки та хибні спрацювання, змушуючи команди витрачати багато часу на їх перевірку. Агентні технології прискорюють розробку програмного забезпечення, і саме перевірка безпеки дедалі частіше сповільнює подальший прогрес.
Codex Security ефективно усуває обидві ці проблеми. Завдяки поєднанню агентного аналізу від наших передових моделей і автоматизованої перевірки система формує достовірні результати та пропонує конкретні виправлення, дозволяючи командам зосередитися на критичних уразливостях і швидше випускати безпечний код.
Раніше цей продукт мав назву Aardvark, а минулого року Codex Security запустили у форматі приватної бета-версії для обмеженої групи клієнтів. На ранніх етапах внутрішнього розгортання інструмент виявив справжню SSRF-вразливість, критичну проблему автентифікації між клієнтськими середовищами та низку інших помилок, які команда безпеки виправила за лічені години. Перші впровадження із залученням зовнішніх тестувальників допомогли нам покращити процес надання користувачами релевантного контексту про продукт і швидше переходити від початкового налаштування до захисту коду. Упродовж бета-тестування ми також суттєво підвищили якість результатів: повторні сканування тих самих репозиторіїв показують зростання точності, а в одному випадку рівень зайвих спрацювань зменшився на 84% від початкового запуску. Ми скоротили кількість результатів із завищеною оцінкою критичності більш ніж на 90%, а частка хибних спрацювань під час виявлення знизилася більш ніж на 50% у всіх репозиторіях. Ці вдосконалення допомагають Codex Security точніше співвідносити заявлений рівень критичності з реальними ризиками та зменшувати зайве навантаження на команди безпеки під час аналізу результатів, і ми очікуємо, що з подальшими інвестиціями співвідношення корисних результатів до зайвих спрацювань і далі зростатиме.
Починаючи з сьогоднішнього дня, Codex Security стає доступним клієнтам ChatGPT Enterprise, Business і Edu через веб-інтерфейс Codex, із безкоштовним доступом протягом наступного місяця.
У роботі Codex Security задіяні передові моделі OpenAI разом з агентом Codex. Завдяки врахуванню особливостей конкретної системи під час пошуку, перевірки й виправлення вразливостей інструмент знижує кількість зайвих сигналів і пришвидшує їх усунення.
- Створення контексту системи та моделі загроз, яку можна редагувати: після налаштування сканування система аналізує ваш репозиторій, щоб зрозуміти структуру системи з погляду безпеки, і створює модель загроз для певного проєкту, яка відображає призначення системи, її довірені компоненти та найбільш уразливі ділянки. Модель загроз можна редагувати, щоб робота агента відповідала підходам вашої команди.
- Пріоритизація та перевірка проблем: використовуючи модель загроз як контекст, система шукає вразливості та класифікує результати з урахуванням їхнього очікуваного впливу на систему в реальних умовах. За можливості система додатково перевіряє результати в ізольованих тестових середовищах, щоб відокремити справді важливі сигнали від зайвих. Користувачі можуть переглянути цей аналіз у підтверджених результатах. Коли Codex Security налаштовано в середовищі, адаптованому до вашого проєкту, система може перевіряти потенційні проблеми безпосередньо в контексті працюючої системи. Такий глибший рівень перевірки допомагає ще більше зменшити кількість хибних спрацювань і створювати робочі демонстрації вразливостей, надаючи командам безпеки переконливіші докази та чіткіший шлях до їх усунення.
- Усунення проблем з урахуванням повного контексту системи: зрештою Codex Security пропонує виправлення для виявлених проблем, узгоджені з логікою роботи системи та її поведінкою в середовищі. Це дозволяє впроваджувати виправлення, які підвищують рівень безпеки та водночас зменшують ризик регресій, роблячи їх безпечнішими для перевірки та інтеграції. Користувачі можуть фільтрувати результати, щоб зосередитися на тих проблемах, які є найважливішими для їхньої команди та мають найбільший вплив на безпеку.
Codex Security також може з часом навчатися на основі вашого зворотного зв’язку, щоб підвищувати якість своїх результатів. Коли ви змінюєте рівень критичності знайденої проблеми, система використовує цей зворотний зв'язок, щоб удосконалити модель загроз і підвищити точність наступних перевірок, краще враховуючи особливості вашої архітектури та рівень ризиків.
Інструмент розроблено для масштабного використання. Він виявляє проблеми з найвищим рівнем достовірності та пропонує виправлення, які легко впровадити. Протягом останніх 30 днів Codex Security проаналізував понад 1,2 млн комітів у зовнішніх репозиторіях учасників бета-тестування та виявив 792 критичні проблеми й 10 561 проблему високого рівня критичності. Критичні проблеми були виявлені менш ніж у 0,1% перевірених комітів, що свідчить про здатність системи знаходити суттєві ризики безпеки у великих обсягах коду без надмірного навантаження на тих, хто перевіряє результати.
«Як компанія, для якої безпека продуктів є ключовим пріоритетом, NETGEAR із задоволенням долучилася до програми раннього доступу, і отримані результати перевершили очікування. Codex Security без проблем інтегрувався в наше надійне середовище безпечної розробки та посилив як темп, так і якість процесів перевірки. Висновки були надзвичайно зрозумілими й ґрунтовними, і часто здавалося, що до нашої команди долучився досвідчений фахівець із безпеки продуктів.»
Програмне забезпечення з відкритим кодом є основою сучасних систем, зокрема й наших. Ми використовуємо Codex Security для перевірки репозиторіїв із відкритим кодом, на які найбільше покладаємося, і передаємо виявлені важливі проблеми безпеки командам, що розвивають ці проєкти, щоб допомогти зміцнити цю основу.
У розмовах із командами, що підтримують ці проєкти, постійно звучала одна й та сама думка: проблема не в нестачі повідомлень про вразливості, а в їх надмірній кількості та низькій якості. Вони зазначили, що їм потрібно менше хибних спрацювань і більш сталий спосіб виявляти реальні проблеми безпеки без додаткового навантаження під час їх перевірки. Ці розмови допомогли сформувати наш підхід до підтримки спільноти програмного забезпечення з відкритим кодом за допомогою Codex Security. Замість створення великої кількості сумнівних результатів ми розробляємо систему, що зосереджується на проблемах із високим рівнем достовірності, на які команди проєктів можуть швидко відреагувати.
У межах цієї роботи ми повідомили про критичні вразливості низку широко використовуваних проєктів з відкритим кодом, зокрема OpenSSH(відкривається у новому вікні), GnuTLS(відкривається у новому вікні), GOGS(відкривається у новому вікні), Thorium(відкривається у новому вікні) libssh, PHP і Chromium, та іншим. Чотирнадцять вразливостей уже отримали ідентифікатори CVE, зокрема у двох випадках було зафіксовано незалежні повідомлення про ту саму проблему. Приклади наведено в додатку.
Нещодавно ми почали залучати першу групу команд проєктів з відкритим кодом до Codex for OSS — програми підтримки екосистеми, що передбачає безкоштовні облікові записи ChatGPT Pro і Plus, перевірку коду та доступ до Codex Security. Проєкти на кшталт vLLM уже використовують Codex Security для виявлення та виправлення проблем у межах стандартного робочого процесу.
У найближчі тижні ми плануємо розширити програму, щоб більше команд проєктів з відкритим кодом отримали прямий доступ до кращих інструментів безпеки, ефективніших процесів перевірки коду та підтримки роботи, на якій тримається вся екосистема. Якщо ви підтримуєте проєкт з відкритим кодом і зацікавлені долучитися, будь ласка, зв'яжіться з нами.
Упродовж найближчих днів ми поступово відкриватимемо доступ до Codex Security для клієнтів ChatGPT Enterprise, Business і Edu. Ознайомтеся з нашою документацією(відкривається у новому вікні), щоб дізнатися більше про налаштування Codex Security для вашої команди.
- Переповнення буфера в динамічній пам'яті (off-by-one) у certtool бібліотеки GnuTLS — CVE-2025-32990(відкривається у новому вікні)
- Читання за межами буфера в динамічній пам'яті під час обробки розширення SCT у GnuTLS — CVE-2025-32989(відкривається у новому вікні)
- Подвійне звільнення пам'яті під час експорту otherName SAN у GnuTLS — CVE-2025-32988(відкривається у новому вікні)
- Обхід двофакторної автентифікації у GOGS — CVE-2025-64175(відкривається у новому вікні)
- Обхід автентифікації у GOGS — CVE-2026-25242(відкривається у новому вікні)
- Обхід шляху (з можливістю довільного запису) — download_ephemeral, download_children (агент) — CVE-2025-35430(відкривається у новому вікні)
- LDAP-ін’єкція (у фільтрах і DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(відкривається у новому вікні)
- Неавторизована DoS-атака та зловживання надсиланням електронних листів — resend_email_verification — CVE-2025-35432(відкривається у новому вікні) , CVE-2025-35436(відкривається у новому вікні)
- Сесія не оновлюється після зміни пароля — User::update_user — CVE-2025-35433(відкривається у новому вікні)
- Вимкнена верифікація TLS — клієнт Elasticsearch — CVE-2025-35434(відкривається у новому вікні)
- DoS: ділення на нуль — /api/streams/depth/.../{split} — CVE-2025-35435(відкривається у новому вікні)
- Переповнення буфера стека в gpg-agent через PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(відкривається у новому вікні)
- Переповнення буфера на стеку в TPM2 PKDECRYPT для RSA та ECC через відсутність перевірки довжини шифротексту — CVE-2026-24882(відкривається у новому вікні)
- Переповнення буфера стека в параметрах ASN.1 AES-GCM для CMS/PKCS7 — CVE-2025-15467(відкривається у новому вікні)
- Переповнення keyLength у PBKDF2 (PBMAC1) у PKCS#12 з можливістю обходу MAC — CVE-2025-11187(відкривається у новому вікні)
