Codex Security: OpenAI Lancar Ejen AI Keselamatan Aplikasi

OpenAI melancarkan serangan dalam keselamatan kod. Syarikat ini melancarkan [Codex](https://chatgpt.com/codex) Security hari ini, ejen keselamatan aplikasi yang menganalisis repositori kod anda secara mendalam untuk mengenal pasti kerentanan kritikal yang terlepas oleh alat tradisional. Berbeza dengan pengimbas tradisional yang membanjiri pasukan dengan positif palsu, Codex Security membina model ancaman khusus projek sebelum mencari kelemahan — dan mencadangkan pembaikan sedia untuk digabungkan.

Intipati dalam 30 saat

Codex Security ialah ejen keselamatan aplikasi berdasarkan model frontier OpenAI. Ia membina model ancaman yang boleh diedit, mengesahkan kerentanan dalam persekitaran sandbox, dan mencadangkan tampalan kontekstual. Dalam beta, ia mengurangkan positif palsu lebih 50% dan menemui 14 CVE dalam projek sumber terbuka utama (OpenSSH, GnuTLS, Chromium). Tersedia dalam pratonton penyelidikan untuk pelanggan ChatGPT Enterprise, Business dan Edu, dengan penggunaan percuma sebulan.

Masalah sebenar: terlalu banyak bunyi bising, kurang isyarat

Alat keselamatan AI semasa mempunyai kelemahan asas: mereka menganalisis kod tanpa memahami sistem. Hasilnya? Beratus-ratus amaran, kebanyakannya positif palsu atau penemuan berimpak rendah. Pasukan keselamatan menghabiskan lebih banyak masa menapis bunyi bising berbanding membetulkan masalah sebenar.

Masalah ini bertambah buruk dengan pecutan pembangunan oleh ejen AI. Apabila pembangun anda menggunakan GitHub Copilot, Cursor atau OpenAI Codex untuk menulis kod lebih pantas, semakan keselamatan menjadi kesesakan kritikal dalam talian paip. Codex Security menangani kedua-dua belah persamaan.

Bagaimana Codex Security berfungsi

1. Pembinaan model ancaman tersuai

Selepas mengkonfigurasi imbasan, Codex Security menganalisis repositori anda untuk memahami struktur keselamatan sistem. Ia menjana model ancaman khusus projek yang menangkap apa yang dilakukan sistem, apa yang dipercayainya, dan di mana ia paling terdedah. Model ancaman ini boleh diedit — pasukan anda boleh memperhalusinya.

Ini perubahan pendekatan yang radikal. Daripada mengimbas kod secara membuta tuli mencari corak yang diketahui, ejen memahami konteks perniagaan terlebih dahulu sebelum mencari kerentanan.

2. Keutamaan dan pengesahan sandbox

Menggunakan model ancaman sebagai konteks, Codex Security mencari kerentanan dan mengkategorikan penemuan berdasarkan impak sebenar dalam sistem anda. Apabila boleh, ia menguji penemuan dalam persekitaran pengesahan sandbox untuk membezakan isyarat daripada bunyi bising.

Apabila Codex Security dikonfigurasikan dengan persekitaran yang disesuaikan untuk projek anda, ia boleh mengesahkan masalah potensi secara langsung dalam konteks sistem yang sedang berjalan. Pengesahan yang lebih mendalam ini mengurangkan lagi positif palsu dan membolehkan penciptaan bukti konsep yang berfungsi.

3. Pembaikan dengan konteks sistem penuh

Akhir sekali, Codex Security mencadangkan pembaikan yang sejajar dengan niat sistem dan tingkah laku sekeliling. Matlamatnya: tampalan yang meningkatkan keselamatan sambil meminimumkan regresi.

Ejen juga belajar daripada maklum balas anda dari masa ke masa. Apabila anda melaraskan kritikal sesuatu penemuan, ia menggunakan maklum balas tersebut untuk memperhalusi model ancaman dan meningkatkan ketepatan pada imbasan seterusnya.

Angka yang bercakap sendiri

Dalam 30 hari terakhir beta, Codex Security mengimbas lebih 1.2 juta commit dalam repositori penguji luar:

Metrik	Nilai
Commit diimbas (30 hari)	1.2 juta+
Penemuan kritikal	792
Penemuan keterukan tinggi	10,561
Commit dengan isu kritikal	< 0.1%
Pengurangan bunyi bising (kes terbaik)	-84%
Pengurangan keterukan terlebih lapor	-90%
Pengurangan positif palsu	-50%+

Keputusan beta Codex Security dalam 30 hari

14 CVE ditemui dalam projek sumber terbuka utama

OpenAI menggunakan Codex Security untuk mengimbas repositori sumber terbuka yang menjadi asas sistemnya sendiri. Hasilnya: 14 CVE diberikan dalam projek kritikal seperti OpenSSH, GnuTLS, GOGS, Chromium, PHP dan libssh.

GnuTLS: Heap-Buffer Overflow (CVE-2025-32990), Heap Buffer Overread (CVE-2025-32989), Double-Free (CVE-2025-32988)
GOGS: Pintasan pengesahan 2FA (CVE-2025-64175), pintasan tanpa pengesahan (CVE-2026-25242)
GnuPG/gpg-agent: Stack buffer overflow melalui PKDECRYPT (CVE-2026-24881, CVE-2026-24882)
Thorium: Path traversal, LDAP injection, DoS (5 CVE)
GnuPG: CMS/PKCS7 buffer overflow (CVE-2025-15467), PKCS#12 MAC bypass (CVE-2025-11187)

OpenAI menyerlahkan maklum balas berulang daripada penyelenggara sumber terbuka: masalahnya bukan kekurangan laporan kerentanan, tetapi terlalu banyak laporan berkualiti rendah. Codex Security direka untuk menghantar lebih sedikit laporan, tetapi yang boleh ditindaklanjuti.

OpenAI telah melancarkan Codex for OSS, program yang menawarkan akaun ChatGPT Pro dan Plus percuma, semakan kod dan akses Codex Security kepada penyelenggara sumber terbuka.

Dari Aardvark ke Codex Security: beta yang membuahkan hasil

Dahulu dikenali sebagai Aardvark, projek ini bermula tahun lepas sebagai beta persendirian. Dalam penggunaan dalaman di OpenAI, ejen mengesan SSRF sebenar, kerentanan pengesahan cross-tenant kritikal, dan beberapa isu lain yang dibetulkan dalam beberapa jam.

Peningkatan beta	Perincian
Pengurangan bunyi bising	Sehingga -84% pada repositori yang sama
Keterukan terlebih lapor	Dikurangkan lebih 90%
Positif palsu	Dikurangkan lebih 50% merentas semua repositori

Peningkatan yang diukur semasa beta Codex Security

“Penemuan tersebut sangat jelas dan komprehensif, sering memberi kesan bahawa penyelidik keselamatan produk berpengalaman sedang bekerja bersama kami.”
Chandan Nandakumaraiah—Head of Product Security, NETGEAR

Ketersediaan dan harga

Codex Security dilancarkan dalam pratonton penyelidikan mulai hari ini untuk pelanggan ChatGPT Enterprise, Business dan Edu melalui Codex web.

Penggunaan percuma untuk bulan pertama. Inilah masanya untuk menguji alat ini pada repositori paling kritikal anda tanpa komitmen.

Codex Security menghadapi persaingan

Pasaran keselamatan aplikasi berbantukan AI sedang berkembang pesat. Pemain seperti [Aikido Security](https://aikido.dev) sudah menawarkan platform keselamatan developer-first. GitHub telah mengintegrasikan ciri keselamatan lanjutan dalam GitHub Copilot dan Advanced Security.

Yang membezakan Codex Security ialah pendekatan model ancaman kontekstual + pengesahan sandbox. Kebanyakan alat pesaing berfungsi melalui padanan corak pada kod sumber. Codex Security membina pemahaman sistem terlebih dahulu, kemudian mencari kelemahan dalam konteks. Ini perbezaan antara pengimbas keselamatan dan pentester manusia yang memahami seni bina anda.

Apa yang berubah untuk pasukan pembangunan

Untuk pasukan yang sudah menggunakan ekosistem OpenAI — ChatGPT Enterprise untuk produktiviti, OpenAI Codex untuk pembangunan — Codex Security sesuai sebagai lapisan semula jadi dalam talian paip.

Keselamatan aplikasi sentiasa menjadi anak tiri kitaran pembangunan: terlalu perlahan, terlalu bising, terlalu terputus dari konteks. Jika Codex Security menunaikan janjinya, ia boleh mengubah keselamatan daripada brek kepada pemecut. Itulah yang diperlukan oleh pasukan yang mengekod dengan Claude, Cursor atau GitHub Copilot.

Alat yang disebut dalam artikel ini

Sumber dan rujukan

Sumber rasmi:

OpenAI - Introducing Codex Security - openai.com
OpenAI Codex Documentation - platform.openai.com

Lihat ulasan terperinci kami:

Ikuti berita AI

Dapatkan kemas kini terkini tentang alat keselamatan dan pembangunan AI.

Tiada spam. Berhenti langgan dalam 1 klik.

Codex Security: OpenAI Lancar Ejen AI untuk Mengesan Kerentanan dalam Kod Anda

Masalah sebenar: terlalu banyak bunyi bising, kurang isyarat