Codex Security 現以研究預覽形式推出

今日我們正式推出我們的應用程式安全智慧體 Codex Security。Codex Security 會深入理解你的專案上下文，找出其他智慧體難以發現的複雜漏洞，並提供可信度更高的安全問題分析和修復建議，有效提升系統安全性，同時減少無關緊要錯誤帶來的干擾。

在評估真正的安全風險時，上下文非常關鍵。然而，目前不少 AI 資安工具只會標示影響較低的問題，或產生大量偽陽性誤報，安全團隊因而需要花費大量時間進行問題分流和分類處理。此外，智慧體正加快軟體開發的速度，安全審查逐漸成為開發流程中的一大瓶頸。

Codex Security 正是為了解決這兩個問題而設計。透過結合我們前沿模型的智慧體推理能力與自動驗證機制，它可以提供可信度更高的安全問題分析及修復建議，讓團隊能專心處理真正重要的漏洞，並更快推出安全可靠的程式碼。

Codex Security 前身為 Aardvark⁠，去年以私人 Beta 版本形式與少量客戶展開合作。在早期內部部署中，它發現了一個真實的 SSRF 漏洞、一個關鍵的跨租戶身分驗證漏洞，以及多個其他安全問題，而我們的資安團隊在數小時內便完成修補。與外部測試者合作的早期部署也幫助我們改善了多個環節，包括使用者如何提供相關產品上下文，以及如何由導入階段順利進展到保護程式碼的實際運作。Beta 版本測試期間，我們也大幅提升了偵測結果的品質。在一段時間內對同一程式碼庫進行多次掃描，可以看到結果越來越精準。在某個案例中，相比初次推出時，雜訊已減少 84%。我們也把過度評估嚴重程度的比例降低超過 90%，各程式碼庫偵測結果的誤報率則下降超過 50%。這些改進讓 Codex Security 回報的嚴重程度更能反映實際風險，也減少資安團隊不必要的分流處理負擔。隨著我們持續努力，訊噪比應會進一步提升。

即日起，Codex Security 透過 Codex 網頁版向 ChatGPT Enterprise、Business 和 Edu 客戶逐步推出，並在接下來一個月開放免費使用。

Codex Security 運用 OpenAI 的前沿模型與 Codex 智慧體。系統會先理解系統特定的上下文，再進行漏洞偵測、驗證與修補，有效減少雜訊並加快修復速度。

1. 建構系統上下文並建立可編輯的威脅模型：在設定掃描後，系統會分析程式碼庫，理解系統中與安全相關的系統結構，並產生專案專屬的威脅模型，該模型會定義系統的運作方式、信任哪些服務或元件，以及哪些部分最容易受到攻擊。威脅模型可供編輯，確保智慧體能持續與團隊的安全認知保持一致。
2. 排定優先順序並驗證問題：系統會將威脅模型作為背景脈絡，搜尋潛在漏洞，並根據漏洞對系統的實際影響，對偵測結果加以分類。在可行的情況下，系統會在沙箱驗證環境中測試發現結果，區分真正的問題與雜訊。使用者可以在「已驗證的發現」中查看相關分析。當 Codex Security 連接到符合專案需求的執行環境時，系統也能直接在系統實際運作的上下文中驗證潛在問題。更深入的驗證能進一步降低誤報，並產生可運作的概念驗證 (PoC)，讓資安團隊更能掌握問題並採取修復行動。
3. 在完整系統上下文中修補問題：最後，Codex Security 會根據系統設計意圖與周邊行為，提出適用的修復建議。這樣的修補方式既能提升安全性，也能避免造成其他問題，讓程式碼更容易審查與合併。使用者可以篩選偵測結果，專注處理對團隊最重要、安全影響最大的問題。

Codex Security 也會從你的回饋意見中持續學習，提升偵測結果的品質。當你調整某個問題的嚴重程度時，系統會利用這些回饋修正威脅模型，進一步理解在你的系統架構與風險狀態中，最重要的是哪些部分，並在後續掃描中提高精準度。

Codex Security 可在大規模環境中運作，並優先呈現可信度最高的安全問題，同時提供容易採納的修補建議。在過去 30 天內，Codex Security 在 Beta 測試群組的外部程式碼庫中掃描了超過 120 萬個提交項目，找出 792 項重大問題與 10,561 項高嚴重程度問題。重大問題只出現在不到 0.1% 的掃描提交項目中，顯示系統能在大量程式碼中找出真正影響安全的問題，同時把審閱人員需要處理的雜訊降到最低。

開放原始碼軟體是現代系統的重要基礎，包括我們自己的系統。我們一直使用 Codex Security 掃描我們最依賴的開放原始碼庫，並與維護者分享發現的高影響安全問題，藉此協助提升整個生態系統的安全性。

在與維護者的交流過程中，我們反覆聽到同一個問題：真正的挑戰不是缺少漏洞報告，而是低品質的報告太多。維護者表示，他們希望誤報更少，也需要一種更可長期運作的方式，把真正的安全問題找出來，同時不增加額外的分流負擔。這些交流形塑了我們如何設計 Codex Security 來支援開放原始碼社群。與其產生大量推測性的發現，我們更關注這套系統能否優先找出可信度高的安全問題，並讓維護者可以迅速採取行動。

在這項工作中，我們已向多個廣泛使用的開放原始碼專案通報了重大漏洞，包括 OpenSSH⁠(在新視窗中開啟)、GnuTLS⁠(在新視窗中開啟)、GOGS⁠(在新視窗中開啟)、Thorium⁠(在新視窗中開啟)、libssh、PHP 和 Chromium。已有 14 項漏洞正式登記為 CVE，其中兩項為雙重回報。附錄中分享部分案例。

我們最近開始將第一批開放原始碼維護者納入 Codex for OSS。這項計畫為開放原始碼社群提供免費的 ChatGPT Pro 與 Plus 帳戶、程式碼審查，以及 Codex Security 支援。像 vLLM 這樣的專案，已在日常工作流程中使用 Codex Security 找出並修補問題。

我們計畫在未來幾週擴大這項計畫，讓更多維護者能更直接提升安全性、強化審查流程，並持續支持整個開放原始碼生態系統。如果你是開放原始碼專案的維護者，而且有興趣參與，請與我們聯絡⁠。

我們將在未來幾天陸續開放 ChatGPT Enterprise、Business 和 Edu 客戶使用 Codex Security。請參閱我們的文件⁠(在新視窗中開啟)，了解如何為團隊設定 Codex Security。

• GnuTLS certtool 堆積緩衝區溢位 (Off-by-One) — CVE-2025-32990⁠(在新視窗中開啟)
• GnuTLS 在 SCT 擴充功能解析中的堆積緩衝區過度讀取：CVE-2025-32989⁠(在新視窗中開啟)
• GnuTLS 在 otherName SAN 匯出中的 Double-Free — CVE-2025-32988⁠(在新視窗中開啟)
• GOGS 繞過雙重驗證 (2FA)：CVE-2025-64175⁠(在新視窗中開啟)
• GOGS 未經驗證的存取繞過 — CVE-2026-25242⁠(在新視窗中開啟)
• 路徑穿越漏洞（可造成任意寫入）— download_ephemeral, download_children（智慧體）— CVE-2025-35430⁠(在新視窗中開啟)
• LDAP 注入漏洞（filters 與 DN）— LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(在新視窗中開啟)
• 未經驗證的 DoS 與郵件濫用漏洞 — resend_email_verification — CVE-2025-35432⁠(在新視窗中開啟) , CVE-2025-35436⁠(在新視窗中開啟)
• 變更密碼時未重新產生工作階段 — User::update_user — CVE-2025-35433⁠(在新視窗中開啟)
• 停用 TLS 驗證 — Elasticsearch 用戶端 — CVE-2025-35434⁠(在新視窗中開啟)
• DoS：除以零錯誤 — /api/streams/depth/.../{split} — CVE-2025-35435⁠(在新視窗中開啟)
• gpg-agent 堆疊緩衝區溢位（透過 PKDECRYPT --kem=CMS (ECC KEM)）— CVE-2026-24881⁠(在新視窗中開啟)
• TPM2 PKDECRYPT 在處理 RSA 與 ECC 時，因未驗證密文長度而發生堆疊緩衝區溢位 — CVE-2026-24882 — CVE-2026-24882⁠(在新視窗中開啟)
• CMS/PKCS7 AES-GCM ASN.1 參數堆疊緩衝區溢位 — CVE-2025-15467⁠(在新視窗中開啟)
• PKCS#12 PBMAC1 PBKDF2 keyLength 溢位 + 繞過 MAC 檢查 — CVE-2025-11187⁠(在新視窗中開啟)