Η OpenAI ανακοίνωσε την κυκλοφορία του Codex Security, ενός παράγοντα ασφαλείας εφαρμογών που έχει σχεδιαστεί για να εντοπίζει, να επικυρώνει και να αποκαθιστά πολύπλοκα τρωτά σημεία εντός επιχειρήσεων και βάσεων κώδικα ανοιχτού κώδικα.
Παλαιότερα γνωστό ως Aardvark, το εργαλείο αξιοποιεί μοντέλα τεχνητής νοημοσύνης συνόρων για την παροχή αξιολογήσεων ασφάλειας με επίγνωση του πλαισίου, με στόχο να αντικαταστήσει τα θορυβώδη εργαλεία στατικής ανάλυσης που κατακλύζουν τις ομάδες ασφαλείας με ευρήματα χαμηλού αντίκτυπου και ψευδώς θετικά.
Με αυτόματη δοκιμή πίεσης πιθανών εκμεταλλεύσεων και δημιουργώντας επιδιορθώσεις με δυνατότητα δράσης, το Codex Security αντιμετωπίζει το αυξανόμενο πρόβλημα αναθεώρησης κώδικα που δημιουργείται από την ανάπτυξη λογισμικού με τη βοήθεια AI.
Από σήμερα, ο πράκτορας κυκλοφορεί σε μια προεπισκόπηση έρευνας σε πελάτες ChatGPT Pro, Enterprise, Business και Edu μέσω της διεπαφής ιστού Codex.
OpenAI Codex Security
Σε αντίθεση με τα παραδοσιακά εργαλεία δοκιμών ασφάλειας εφαρμογών, το Codex Security ξεκινά την ανάλυσή του δημιουργώντας ένα μοντέλο απειλής με δυνατότητα επεξεργασίας για συγκεκριμένο έργο που χαρτογραφεί τα όρια εμπιστοσύνης του συστήματος και τα σημεία έκθεσης. Ο πράκτορας χρησιμοποιεί αυτήν την κατανόηση των συμφραζομένων για να ιεραρχήσει τα τρωτά σημεία με βάση τον πραγματικό αντίκτυπο και όχι τα γενικά ευρετικά.
Για την περαιτέρω εξάλειψη του θορύβου, η Codex Security επικυρώνει ενεργά τα ευρήματά της εκτελώντας εκμεταλλεύσεις απόδειξης της ιδέας σε περιβάλλοντα sandbox. Εάν επιβεβαιωθεί μια ευπάθεια, ο παράγοντας δημιουργεί μια ενημερωμένη έκδοση κώδικα που έχει σχεδιαστεί για να ελαχιστοποιεί τις παλινδρομήσεις και να ευθυγραμμίζεται με την αρχιτεκτονική του περιβάλλοντος συστήματος.
Κατά τη διάρκεια της ιδιωτικής beta φάσης του, το σύστημα επέδειξε σημαντικές βελτιώσεις στην αναλογία σήματος προς θόρυβο. Σε όλα τα παρακολουθούμενα αποθετήρια, το OpenAI ανέφερε μείωση κατά 84% στον θόρυβο συναγερμού, μείωση κατά 90% στα υπερβολικά αναφερόμενα επίπεδα σοβαρότητας και μεγαλύτερη από 50% πτώση στα ψευδώς θετικά ποσοστά.
Η επεκτασιμότητα του πράκτορα αποδείχθηκε τις τελευταίες 30 ημέρες της beta, κατά τη διάρκεια των οποίων σάρωνε πάνω από 1,2 εκατομμύρια δεσμεύσεις από εξωτερικά αποθετήρια. Αυτή η ανάλυση εντόπισε επιτυχώς 792 κρίσιμα τρωτά σημεία και 10.561 ζητήματα υψηλής σοβαρότητας, με κρίσιμα ελαττώματα να εμφανίζονται σε λιγότερο από το 0,1% όλων των σαρωμένων δεσμεύσεων.
Ένα βασικό στοιχείο της κυκλοφορίας του Codex Security είναι η εφαρμογή του σε κρίσιμο λογισμικό ανοιχτού κώδικα (OSS). Το OpenAI χρησιμοποίησε τον πράκτορα για να ελέγχει έργα που βασίζονται ευρέως σε έργα όπως το OpenSSH, το GnuTLS, το PHP και το Chromium, δίνοντας προτεραιότητα στην αξιόπιστη ευφυΐα έναντι των κερδοσκοπικών εκθέσεων. Αυτές οι σαρώσεις είχαν ως αποτέλεσμα την ανακάλυψη τρωτών σημείων μηδενικής ημέρας υψηλού αντίκτυπου και την εκχώρηση 14 επίσημων CVE.
Για να ενισχύει συνεχώς το οικοσύστημα OSS, το OpenAI λανσάρει το «Codex for OSS», ένα πρόγραμμα που προσφέρει δωρεάν πρόσβαση σε λογαριασμούς ChatGPT Pro, υποδομή ελέγχου κώδικα και Codex Security για κατάλληλους συντηρητές ανοιχτού κώδικα.
Ο παρακάτω πίνακας περιγράφει λεπτομερώς μια επιλογή από κρίσιμα τρωτά σημεία που ανακαλύφθηκαν και επικυρώθηκαν από το Codex Security σε μεγάλα έργα ανοιχτού κώδικα:
| Αναγνωριστικό CVE | Βαθμολογία CVSS | Επηρεασμένο στοιχείο | Τύπος και πλαίσιο ευπάθειας |
|---|---|---|---|
| CVE-2025-32990 | 8.2 (Υψηλό) | Πιστοποιητικό GnuTLS | Υπερχείλιση Heap-Buffer (Off-by-One) στην ανάλυση προτύπων. |
| CVE-2025-64175 | N/A | ΓΚΟΓΚΣ | Παράκαμψη ασφαλείας ελέγχου ταυτότητας δύο παραγόντων (2FA). |
| CVE-2026-25242 | N/A | ΓΚΟΓΚΣ | Παράκαμψη ελέγχου πρόσβασης χωρίς έλεγχο ταυτότητας. |
| CVE-2025-35430 | N/A | Πλαίσιο πράκτορα | Διαδρομή διαδρομής που οδηγεί σε δυνατότητες αυθαίρετης εγγραφής. |
| CVE-2025-35431 | N/A | LdapUserMap | LDAP Injection που επηρεάζει τα φίλτρα και τα διακεκριμένα ονόματα. |
| CVE-2025-35432 | N/A | Συστήματα Επαλήθευσης | Μη επαληθευμένη άρνηση υπηρεσίας (DoS) και κατάχρηση αλληλογραφίας. |
| CVE-2026-24881 | N/A | gpg-agent (ECC KEM) | Υπερχείλιση buffer στοίβας μέσω PKDECRYPT. |
| CVE-2025-11187 | N/A | PKCS#12 PBMAC1 | Υπερχείλιση μήκους κλειδιού PBKDF2 και παράκαμψη επαλήθευσης MAC. |
Συνιστάται στις ομάδες ασφάλειας και ανάπτυξης να επανεξετάσουν τον επίσημο Τεκμηρίωση προγραμματιστή OpenAI για τη διαμόρφωση των ενσωματώσεων αποθετηρίων και τη δημιουργία βασικών μοντέλων απειλών. Για τους συντηρητές ανοιχτού κώδικα που ενδιαφέρονται να αξιοποιήσουν αυτές τις δυνατότητες, οι εφαρμογές για το πρόγραμμα Codex for OSS είναι ανοιχτές επί του παρόντος μέσω της πλατφόρμας του OpenAI.
Οι οργανισμοί που χρησιμοποιούν τα ευάλωτα στοιχεία λογισμικού που αναφέρονται παραπάνω θα πρέπει να παρακολουθούν αμέσως τις συμβουλές των προμηθευτών και να αναπτύσσουν τις επικυρωμένες ενημερώσεις κώδικα που παρέχονται από τους αντίστοιχους συντηρητές τους.
