آج ہم Codex Security متعارف کر رہے ہیں، جو ہمارا ایپلیکیشن سیکیورٹی ایجنٹ ہے. یہ آپ کے پروجیکٹ کے بارے میں گہرا سیاق و سباق تیار کرتا ہے تاکہ پیچیدہ کمزوریوں کی شناخت کی جا سکے جنہیں دوسرے ایجنٹک ٹولز نظر انداز کر دیتے ہیں، زیادہ اعتماد کے ساتھ نتائج کو اصلاحات سمیت سامنے لاتا ہے جو آپ کے سسٹم کی سیکیورٹی کو بامعنی طور پر بہتر بناتی ہیں جبکہ آپ کو غیر اہم بگز کے شور سے بچاتی ہیں.
حقیقی سیکیورٹی خطرات کا جائزہ لیتے وقت سیاق و سباق ضروری ہوتا ہے، لیکن زیادہ تر AI سیکیورٹی ٹولز محض کم اثر والی دریافتوں اور فالس پازیٹوز کو فلیگ کرتے ہیں، جس سے سیکیورٹی ٹیمیں ٹریایج پر خاصا وقت صرف کرنے پر مجبور ہو جاتی ہیں. اسی وقت، ایجنٹس سافٹ ویئر ڈیولپمنٹ کو تیز کر رہے ہیں، جس سے سیکیورٹی کا جائزہ ایک بڑھتی ہوئی حد تک اہم رکاوٹ بنتا جا رہا ہے.
Codex Security دونوں چیلنجز سے نمٹتا ہے. ہمارے جدید ترین ماڈلز سے ایجنٹک ریزننگ کو خودکار توثیق کے ساتھ یکجا کر کے، یہ اعلٰی اعتماد کے ساتھ نتائج اور قابلِ عمل اصلاحات فراہم کرتا ہے تاکہ ٹیمیں اُن کمزوریوں پر توجہ مرکوز کر سکیں جو واقعی اہم ہیں اور محفوظ کوڈ کو زیادہ تیزی سے شِپ کر سکیں.
پہلے Aardvark کے نام سے جانا جاتا تھا، Codex سیکیورٹی نے گزشتہ سال صارفین کے ایک چھوٹے سے گروپ کے ساتھ نجی بِیٹا کے طور پر آغاز کیا. ابتدائی داخلی تعیناتیوں میں، اس نے ایک حقیقی SSRF، کراس کرایہ دار کی توثیق کی ایک اہم کمزوری، اور بہت سے دوسرے مسائل کو منظر عام پر لایا جن کو ہماری سیکیورٹی ٹیم نے گھنٹوں کے اندر حل کیا. بیرونی ٹیسٹرز کے ساتھ ابتدائی تعیناتیوں نے ہمیں یہ بہتر بنانے میں مدد کی کہ صارفین متعلقہ پروڈکٹ سیاق و سباق کیسے فراہم کرتے ہیں اور آن بورڈنگ سے اپنے کوڈ کو محفوظ بنانے تک کیسے منتقل ہوتے ہیں. ہم نے بیٹا کے دوران اپنی نتائج کے معیار میں بھی نمایاں طور پر بہتری کی: وقت کے ساتھ اسی ریپوزٹریز پر کیے گئے اسکینز بڑھتی ہوئی درستگی دکھاتے ہیں، ایک کیس میں ابتدائی رول آؤٹ کے بعد سے شور میں 84% کمی آئی ہے. ہم نے ضرورت سے زیادہ رپورٹ کی گئی شدت کے ساتھ نتائج کی شرح میں 90% سے زیادہ کمی کی ہے اور تمام ریپوزٹریز میں ڈیٹیکشنز پر غلط مثبت کی شرح میں 50% سے زیادہ کمی آئی ہے. یہ بہتریاں Codex Security کو رپورٹ کی گئی شدت کو حقیقی دنیا کے خطرے کے ساتھ بہتر طور پر ہم آہنگ کرنے اور سیکیورٹی ٹیموں کے لیے غیر ضروری ٹریایج کے بوجھ کو کم کرنے میں مدد دیتی ہیں اور ہم توقع کرتے ہیں کہ مزید سرمایہ کاری کے ساتھ سگنل ٹو نوائز ریشو میں بہتری آتی رہے گی.
آج سے، Codex Security کو Codex web کے ذریعے ChatGPT Enterprise، Business اور Edu صارفین کے لیے جاری کیا جا رہا ہے اور اگلے مہینے تک مفت استعمال دستیاب ہوگا.
Codex Security OpenAI کے جدید ترین ماڈلز اور Codex ایجنٹ سے فائدہ اٹھاتا ہے. یہ شور کو کم کر سکتا ہے اور سسٹم کے مخصوص سیاق و سباق میں کمزوری کی دریافت، توثیق اور پیچنگ کی گراؤنڈنگ کے ذریعے اصلاح کو تیز کر سکتا ہے.
- سسٹم کے سیاق و سباق کی تعمیر کریں اور ایک قابلِ ترمیم خطرے کا ماڈل بنائیں: اسکین کو کنفیگر کرنے کے بعد، یہ آپ کی ریپوزٹری کا تجزیہ کرتا ہے تاکہ سسٹم کی سیکیورٹی سے متعلق ساخت کو سمجھ سکے اور ایک پروجیکٹ-مخصوص خطرے کا ماڈل تیار کرتا ہے جو یہ گرفت کر سکتا ہے کہ سسٹم کیا کرتا ہے، وہ کس پر اعتماد کرتا ہے اور وہ کہاں سب سے زیادہ منکشف ہے. تھریٹ ماڈلز میں ترمیم کی جا سکتی ہے تاکہ ایجنٹ کو آپ کی ٹیم کے ساتھ ہم آہنگ رکھا جا سکے.
- مسائل کو ترجیح دیں اور توثیق کریں: تھریٹ ماڈل کو سیاق و سباق کے طور پر استعمال کرتے ہوئے، یہ کمزوریوں کی تلاش کرتا ہے اور آپ کے سسٹم میں حقیقی دنیا میں متوقع اثرات کی بنیاد پر نتائج کی درجہ بندی کرتا ہے. جہاں ممکن ہو، یہ سینڈباکسڈ ویلیڈیشن ماحول میں نتائج کی جانچ کرتا ہے تاکہ اشارے کو شور سے الگ کیا جا سکے. صارفین توثیق شدہ نتائج میں یہ تجزیہ دیکھ سکتے ہیں. جب Codex سیکیورٹی کو آپ کے پروجیکٹ کے مطابق تیار کردہ ماحول کے ساتھ ترتیب دیا جاتا ہے، تو یہ چلتے ہوئے سسٹم کے سیاق و سباق میں براہ راست ممکنہ مسائل کی توثیق کر سکتا ہے. وہ زیادہ گہری توثیق غلط مثبت کو مزید کم کر سکتی ہے اور کام کرنے والے تصورات کے ثبوت کی تخلیق کو ممکن بنا سکتی ہے، جس سے سیکیورٹی ٹیموں کو زیادہ مضبوط شواہد اور تدارک کے لیے زیادہ واضح راستہ ملتا ہے.
- مکمل سسٹم سیاق و سباق کے ساتھ پیچ کے مسائل: آخر میں، Codex Security دریافت شدہ مسائل کے لیے ایسی اصلاحات تجویز کرتا ہے جو سسٹم کے مقصد اور اردگرد کے رویّے کے مطابق ہوں. یہ ایسے پیچز کو فعال بناتا ہے جو ریگریشنز کو کم سے کم رکھتے ہوئے سیکیورٹی کو بہتر بنا سکتے ہیں، جس سے ان کا جائزہ لینا اور انہیں شامل کرنا زیادہ محفوظ ہو جاتا ہے. صارفین نتائج کو فلٹر کر سکتے ہیں تاکہ وہ اپنی ٹیم کے لیے سب سے اہم چیزوں پر توجہ مرکوز رکھیں اور جن کا سیکیورٹی پر سب سے زیادہ اثر ہو.
Codex سیکیورٹی وقت کے ساتھ آپ کے فیڈبیک سے بھی سیکھ سکتا ہے تاکہ اپنے نتائج کے معیار کو بہتر بنا سکے. جب آپ کسی فائنڈنگ کی کریٹیکلیٹی کو ایڈجسٹ کرتے ہیں، تو یہ اس فیڈبیک کو استعمال کر کے تھریٹ ماڈل کو بہتر بنا سکتا ہے اور بعد کی رنز میں درستگی کو بہتر کر سکتا ہے، کیونکہ یہ سیکھتا ہے کہ آپ کی آرکیٹیکچر اور رسک پوسچر میں کیا اہمیت رکھتا ہے.
یہ وسیع پیمانے پر کام کرنے کے لیے ڈیزائن کیا گیا ہے اور آسانی سے قبول کیے جانے والے پیچز کے ساتھ سب سے زیادہ اعتماد کے قابل نتائج سامنے لاتا ہے. گزشتہ 30 دنوں کے دوران، Codex Security نے ہمارے بیٹا کوہورٹ میں بیرونی ریپوزٹریز میں 1.2 ملین سے زیادہ کمٹس اسکین کیے، 792 نہایت اہم نتائج اور 10,561 اعلٰی شدت کے نتائج کی نشاندہی کی. اسکین کیے گئے کمٹس میں سے 0.1% سے کم میں سنگین مسائل سامنے آئے، جس سے ظاہر ہوتا ہے کہ سسٹم بڑی مقدار میں کوڈ میں سیکیورٹی پر اثر انداز ہونے والے مسائل کی شناخت کر سکتا ہے، جبکہ ریویورز کے لیے شور کو کم سے کم رکھتا ہے.
"پروڈکٹ سیکیورٹی پر لیزر فوکس رکھنے والی کمپنی کے طور پر، NETGEAR جلد رسائی پروگرام میں شامل ہونے سے خوش تھا اور نتائج توقعات سے بڑھ کر تھے. Codex Security ہمارے مضبوط سیکیورٹی ڈیولپمنٹ ماحول میں بے تکلفی سے ضم ہو گیا، جس سے ہمارے جائزہ کے عمل کی رفتار اور گہرائی مضبوط ہوئی. اس کے نتائج حیرت انگیز طور پر واضح اور جامع تھے اور اکثر یہ احساس دلاتے تھے کہ ایک تجربہ کار پروڈکٹ سیکیورٹی محقق ہمارے ساتھ مل کر کام کر رہا تھا."
اوپن سورس سافٹ ویئر جدید سسٹمز کی بنیاد ہے، جن میں ہمارے اپنے سسٹمز بھی شامل ہیں. ہم Codex Security کا استعمال ان اوپن سورس ریپوزٹریز کو اسکین کرنے کے لیے کر رہے ہیں جن پر ہم سب سے زیادہ انحصار کرتے ہیں اور جن اعلٰی اثر والے سیکیورٹی نتائج کی ہم نشاندہی کرتے ہیں انہیں مینٹینرز کے ساتھ شیئر کرتے ہیں تاکہ اس بنیاد کو مضبوط بنانے میں مدد مل سکے.
مینٹینرز کے ساتھ ہماری گفتگو میں ایک مستقل موضوع سامنے آیا: چیلنج کمزوری کی رپورٹس کی کمی نہیں، بلکہ کم معیار والی بہت زیادہ رپورٹس ہیں. مینٹینرز نے ہمیں بتایا کہ انہیں کم غلط مثبت اور حقیقی سیکیورٹی مسائل کو سامنے لانے کا ایک زیادہ پائیدار طریقہ چاہیے، بغیر اضافی ٹرائیج کے بوجھ کے. ان گفتگوؤں نے Codex Security کے ساتھ اوپن سورس کمیونٹی کو سپورٹ کرنے کے ہمارے طریقے کو تشکیل دینے میں مدد کی. بڑی مقدار میں قیاسی نتائج پیدا کرنے کے بجائے، ہم ایک ایسا نظام بنا رہے ہیں جو اعلٰی اعتماد والے مسائل کو ترجیح دیتا ہے جن پر مینٹینرز تیزی سے عمل کر سکتے ہیں.
اس کام کے حصے کے طور پر، ہم نے متعدد وسیع پیمانے پر استعمال ہونے والے اوپن سورس پروجیکٹس کو انتہائی سنگین کمزوریوں کی رپورٹ دی، جن میں OpenSSH(نئی ونڈو میں کھلتا ہے)، GnuTLS(نئی ونڈو میں کھلتا ہے), GOGS(نئی ونڈو میں کھلتا ہے)، Thorium(نئی ونڈو میں کھلتا ہے) libssh، PHP، اور Chromium اور مزید شامل ہیں. چودہ CVEs تفویض کیے گئے ہیں، جن میں سے دو پر دوہری رپورٹنگ ہوئی ہے — ہم نے ضمیمہ میں کچھ مثالیں شیئر کی ہیں.
ہم نے حال ہی میں اوپن سورس مینٹینرز کے ایک ابتدائی گروپ کو Codex for OSS میں آن بورڈ کرنا شروع کیا ہے، جو ہمارے ایکو سسٹم کی معاونت کے لیے ایک پروگرام ہے جس کے تحت مفت ChatGPT Pro اور Plus اکاؤنٹس، کوڈ ریویو اور Codex Security فراہم کیے جاتے ہیں. vLLM جیسے پروجیکٹس نے پہلے ہی Codex Security کو اپنے معمول کے ورک فلو کے حصے کے طور پر مسائل تلاش کرنے اور انہیں پیچ کرنے کے لیے استعمال کیا ہے.
ہم آنے والے ہفتوں میں پروگرام کو وسعت دینے کا پلان رکھتے ہیں تاکہ مزید مینٹینرز کے پاس بہتر سیکیورٹی، مضبوط ریویو ورک فلو اور اس اوپن سورس کام کے لیے سپورٹ تک براہِ راست رسائی ہو جس پر ماحولیاتی نظام انحصار کرتا ہے. اگر آپ اوپن سورس مینٹینر ہیں اور دلچسپی رکھتے ہیں، تو براہ کرم رابطہ کریں.
ہم آنے والے دنوں میں ChatGPT Enterprise، Business اور Edu صارفین کے لیے Codex Security تک رسائی فراہم کریں گے. اپنی ٹیم کے لیے Codex Security سیٹ اپ کرنے کے بارے میں مزید جاننے کے لیے ہماری دستاویزات(نئی ونڈو میں کھلتا ہے) ملاحظہ کریں.
- GnuTLS certtool ہیپ-بفر اوور فلو (آف-بائی-ون) — CVE-2025-32990(نئی ونڈو میں کھلتا ہے)
- GnuTLS میں SCT ایکسٹینشن پارسنگ کے دوران ہیپ بفر اوورریڈ — CVE-2025-32989(نئی ونڈو میں کھلتا ہے)
- GnuTLS میں otherName SAN ایکسپورٹ کے دوران ڈبل-فری — CVE-2025-32988(نئی ونڈو میں کھلتا ہے)
- 2FA بائی پاس GOGS — CVE-2025-64175(نئی ونڈو میں کھلتا ہے)
- غیر مجاز بائی پاس GOGS — CVE-2026-25242(نئی ونڈو میں کھلتا ہے)
- پاتھ ٹریورسل (من مانی رائٹ) — download_ephemeral, download_children (ایجنٹ) — CVE-2025-35430(نئی ونڈو میں کھلتا ہے)
- LDAP انجیکشن (فلٹرز اور DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(نئی ونڈو میں کھلتا ہے)
- غیر توثیق شدہ DoS & میل کے غلط استعمال — resend_email_verification — CVE-2025-35432(نئی ونڈو میں کھلتا ہے) , CVE-2025-35436(نئی ونڈو میں کھلتا ہے)
- پاس ورڈ کی تبدیلی پر سیشن کو تبدیل نہیں کیا گیا — User::update_user — CVE-2025-35433(نئی ونڈو میں کھلتا ہے)
- TLS کی توثیق غیر فعال — Elasticsearch client — CVE-2025-35434(نئی ونڈو میں کھلتا ہے)
- DoS: صفر سے تقسیم — /api/streams/depth/.../{split} — CVE-2025-35435(نئی ونڈو میں کھلتا ہے)
- gpg-ایجنٹ اسٹیک بفر اوور فلو بذریعہ PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(نئی ونڈو میں کھلتا ہے)
- TPM2 PKDECRYPT میں RSA اور ECC کے لیے ciphertext کی لمبائی کی توثیق نہ ہونے کی وجہ سے اسٹیک پر مبنی بفر اوور فلو — CVE-2026-24882(نئی ونڈو میں کھلتا ہے)
- CMS/PKCS7 AES-GCM ASN.1 params اسٹیک بفر اوور فلو — CVE-2025-15467(نئی ونڈو میں کھلتا ہے)
- PKCS#12 PBMAC1 PBKDF2 keyLength اوورفلو + MAC بائی پاس — CVE-2025-11187(نئی ونڈو میں کھلتا ہے)
