Hôm nay chúng tôi giới thiệu Codex Security, tác nhân bảo mật ứng dụng của chúng tôi. Nó xây dựng bối cảnh sâu sắc về dự án của bạn để xác định các lỗ hổng phức tạp mà các công cụ đại lý khác bỏ lỡ, đưa ra những phát hiện có độ tin cậy cao hơn với các bản sửa lỗi cải thiện một cách có ý nghĩa bảo mật của hệ thống của bạn trong khi giúp bạn tránh khỏi tiếng ồn của các lỗi không đáng kể.
Bối cảnh là điều cần thiết khi đánh giá rủi ro bảo mật thực sự, nhưng hầu hết các công cụ bảo mật AI chỉ đơn giản là đánh dấu các phát hiện có tác động thấp và dương tính giả, buộc các nhóm bảo mật phải dành thời gian đáng kể cho việc phân loại. Đồng thời, các tác nhân đang tăng tốc phát triển phần mềm, khiến việc đánh giá bảo mật ngày càng trở thành một nút thắt quan trọng.
Codex Security giải quyết cả hai thách thức. Bằng cách kết hợp lý luận đại lý từ các mô hình biên giới của chúng tôi với xác thực tự động, nó cung cấp các phát hiện có độ tin cậy cao và các bản sửa lỗi có thể hành động để các nhóm có thể tập trung vào các lỗ hổng quan trọng và gửi mã bảo mật nhanh hơn.
Trước đây được gọi là Aardvark, Codex Security bắt đầu vào năm ngoái với phiên bản beta riêng tư dành cho một nhóm nhỏ khách hàng. Trong các lần triển khai nội bộ ban đầu, nó đã xuất hiện một SSRF thực sự, một lỗ hổng xác thực giữa người thuê quan trọng và nhiều vấn đề khác mà nhóm bảo mật của chúng tôi đã vá trong vòng vài giờ. Việc triển khai sớm với người thử nghiệm bên ngoài đã giúp chúng tôi cải thiện cách người dùng cung cấp bối cảnh sản phẩm có liên quan và chuyển từ giới thiệu sang bảo mật mã của họ. Chúng tôi cũng đã cải thiện đáng kể chất lượng kết quả nghiên cứu trong suốt quá trình thử nghiệm beta: các lần quét trên cùng một kho lưu trữ theo thời gian cho thấy độ chính xác ngày càng tăng, trong một trường hợp đã giảm nhiễu tới 84% kể từ khi triển khai ban đầu. Chúng tôi đã giảm tỷ lệ các trường hợp được báo cáo mức độ nghiêm trọng quá mức xuống hơn 90%, và tỷ lệ dương tính giả trong các phát hiện đã giảm hơn 50% trên tất cả các kho lưu trữ. Những cải tiến này giúp Codex Security điều chỉnh mức độ nghiêm trọng được báo cáo phù hợp hơn với rủi ro thực tế và giảm bớt gánh nặng phân loại không cần thiết cho các nhóm bảo mật, và chúng tôi kỳ vọng tỷ lệ tín hiệu trên nhiễu sẽ tiếp tục được cải thiện với các khoản đầu tư tiếp theo.
Bắt đầu từ hôm nay, Codex Security sẽ triển khai cho khách hàng ChatGPT Enterprise, Business và Edu thông qua web Codex với mức sử dụng miễn phí trong tháng tới.
Codex Security tận dụng các mô hình biên giới của OpenAI và tác nhân Codex. Nó có thể giảm tiếng ồn và đẩy nhanh quá trình khắc phục bằng cách căn bản phát hiện, xác nhận và vá lỗ hổng trong bối cảnh cụ thể của hệ thống.
- Xây dựng bối cảnh hệ thống và tạo mô hình mối đe dọa có thể chỉnh sửa: Sau khi định cấu hình quét, nó sẽ phân tích kho lưu trữ của bạn để hiểu cấu trúc liên quan đến bảo mật của hệ thống và tạo mô hình mối đe dọa cụ thể cho dự án có thể nắm bắt những gì hệ thống làm, những gì nó tin tưởng và nơi nó bị phơi bày nhiều nhất. Các mô hình mối đe dọa có thể được chỉnh sửa để giữ cho tác nhân liên kết với nhóm của bạn.
- Ưu tiên và xác thực các vấn đề: Sử dụng mô hình mối đe dọa làm bối cảnh, công cụ này tìm kiếm các lỗ hổng và phân loại các phát hiện dựa trên tác động thực tế dự kiến đối với hệ thống của bạn. Nếu có thể, nó kiểm tra áp suất các phát hiện trong môi trường xác thực hộp cát để phân biệt tín hiệu với nhiễu. Người dùng có thể xem phân tích này trong phần kết quả đã được xác thực. Khi Codex Security được cấu hình với môi trường phù hợp với dự án của bạn, nó có thể xác thực các vấn đề tiềm ẩn trực tiếp trong ngữ cảnh của hệ thống đang hoạt động. Việc xác nhận sâu hơn đó có thể làm giảm kết quả dương tính giả hơn nữa và cho phép tạo ra các chứng minh khái niệm hoạt động, cung cấp cho các nhóm bảo mật bằng chứng mạnh mẽ hơn và một con đường rõ ràng hơn để khắc phục.
- Khắc phục sự cố với ngữ cảnh hệ thống đầy đủ: Cuối cùng, Codex Security đề xuất các bản vá cho các sự cố đã phát hiện, phù hợp với mục đích của hệ thống và hành vi xung quanh. Điều này cho phép vá lỗi để cải thiện bảo mật đồng thời giảm thiểu các lỗi hồi quy, giúp việc xem xét và triển khai chúng an toàn hơn. Người dùng có thể lọc kết quả tìm kiếm để tập trung vào những gì quan trọng nhất đối với nhóm của họ và có tác động bảo mật cao nhất.
Codex Security cũng có thể học hỏi từ phản hồi của bạn theo thời gian để cải thiện chất lượng phát hiện của mình. Khi bạn điều chỉnh mức độ nghiêm trọng của một phát hiện, nó có thể sử dụng phản hồi đó để tinh chỉnh mô hình mối đe dọa và cải thiện độ chính xác trong các lần chạy tiếp theo khi nó tìm hiểu những gì quan trọng trong kiến trúc và tư thế rủi ro của bạn.
Nó được thiết kế để hoạt động ở quy mô lớn và đưa ra những phát hiện có độ tin cậy cao nhất với các bản vá dễ chấp nhận. Trong 30 ngày qua, Codex Security đã quét hơn 1,2 triệu bản cam kết trên các kho lưu trữ bên ngoài trong nhóm beta của chúng tôi, xác định được 792 phát hiện quan trọng và 10.561 phát hiện có mức độ nghiêm trọng cao. Các vấn đề nghiêm trọng xuất hiện trong dưới 0,1% cam kết được quét, cho thấy hệ thống có thể xác định các vấn đề tác động đến bảo mật trong khối lượng lớn mã trong khi giảm thiểu nhiễu cho người đánh giá.
"Là một công ty tập trung cao độ vào bảo mật sản phẩm, NETGEAR rất vui khi tham gia chương trình truy cập sớm, và kết quả đã vượt quá kỳ vọng. Codex Security được tích hợp dễ dàng vào môi trường phát triển bảo mật mạnh mẽ của chúng tôi, giúp tăng tốc độ và chiều sâu của các quy trình đánh giá. Những phát hiện của nó rõ ràng và toàn diện một cách ấn tượng, thường mang lại cảm giác như một nhà nghiên cứu bảo mật sản phẩm giàu kinh nghiệm đang làm việc cùng chúng tôi."
Phần mềm nguồn mở tạo thành nền tảng của các hệ thống hiện đại, bao gồm cả hệ thống của chúng ta. Chúng tôi đã sử dụng Codex Security để quét các kho lưu trữ nguồn mở mà chúng tôi dựa vào hầu hết, chia sẻ những phát hiện bảo mật có tác động cao mà chúng tôi xác định với các nhà bảo trì để giúp củng cố nền tảng đó.
Trong các cuộc trò chuyện với những người bảo trì hệ thống, một chủ đề nhất quán đã nổi lên: thách thức không phải là thiếu báo cáo về lỗ hổng bảo mật, mà là có quá nhiều báo cáo chất lượng thấp. Những người bảo trì nói với chúng tôi rằng họ cần ít kết quả dương tính giả hơn và một cách bền vững hơn để làm nổi bật các vấn đề an ninh thực sự mà không tạo thêm gánh nặng phân loại. Những cuộc trò chuyện này đã giúp định hình cách chúng tôi hỗ trợ cộng đồng mã nguồn mở với Codex Security. Thay vì tạo ra một lượng lớn các phát hiện mang tính suy đoán, chúng tôi đang xây dựng một hệ thống ưu tiên các vấn đề có độ tin cậy cao mà người quản lý có thể xử lý nhanh chóng.
Trong khuôn khổ công việc này, chúng tôi đã báo cáo các lỗ hổng nghiêm trọng cho một số dự án mã nguồn mở được sử dụng rộng rãi, bao gồm OpenSSH(mở trong cửa sổ mới), GnuTLS(mở trong cửa sổ mới), GOGS(mở trong cửa sổ mới), Thorium(mở trong cửa sổ mới) libssh, PHP và Chromium, cùng nhiều dự án khác. Mười bốn CVE đã được chỉ định với báo cáo kép về hai - chúng tôi đã chia sẻ một số ví dụ trong Phụ lục.
Gần đây, chúng tôi đã bắt đầu giới thiệu một nhóm người duy trì nguồn mở ban đầu vào Codex for OSS, chương trình của chúng tôi để hỗ trợ hệ sinh thái với các tài khoản ChatGPT Pro và Plus miễn phí, đánh giá mã và Codex Security. Các dự án như vLLM đã sử dụng Codex Security để tìm và vá các vấn đề như một phần của quy trình làm việc thông thường của họ.
Chúng tôi có kế hoạch mở rộng chương trình trong những tuần tới để nhiều người duy trì hơn có con đường trực tiếp đến bảo mật tốt hơn, quy trình công việc đánh giá mạnh mẽ hơn và hỗ trợ cho công việc mã nguồn mở mà hệ sinh thái phụ thuộc vào. Nếu bạn là người duy trì mã nguồn mở và quan tâm, vui lòng liên hệ.
Chúng tôi sẽ triển khai quyền truy cập Codex Security cho các khách hàng ChatGPT Enterprise, Business và Edu trong những ngày tới. Hãy xem tài liệu của chúng tôi(mở trong cửa sổ mới) để tìm hiểu thêm về cách thiết lập Codex Security cho nhóm của bạn.
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(mở trong cửa sổ mới)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(mở trong cửa sổ mới)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(mở trong cửa sổ mới)
- 2FA Bypass GOGS — CVE-2025-64175(mở trong cửa sổ mới)
- Unauth bypass GOGS — CVE-2026-25242(mở trong cửa sổ mới)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(mở trong cửa sổ mới)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(mở trong cửa sổ mới)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(mở trong cửa sổ mới) , CVE-2025-35436(mở trong cửa sổ mới)
- Session not rotated on password change — User::update_user — CVE-2025-35433(mở trong cửa sổ mới)
- Disabled TLS verification — Elasticsearch client — CVE-2025-35434(mở trong cửa sổ mới)
- DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435(mở trong cửa sổ mới)
- gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881(mở trong cửa sổ mới)
- Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882(mở trong cửa sổ mới)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(mở trong cửa sổ mới)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(mở trong cửa sổ mới)
Hãy tiếp tục xem
