Codex Security - Công bố bản xem trước nghiên cứu

 (openai.com)
5 điểm bởi GN⁺ 2026-03-07 | Chưa có bình luận nào. | Chia sẻ qua WhatsApp
  • Tác nhân bảo mật ứng dụng dựa trên AI có khả năng phân tích ngữ cảnh dự án để phát hiện·xác minh·vá các lỗ hổng phức tạp
  • Được thiết kế để giảm vấn đề cảnh báo dương tính giả quá mức và cảnh báo độ tin cậy thấp do các công cụ bảo mật hiện có tạo ra, đồng thời tập trung vào những lỗ hổng có rủi ro thực sự cao
  • Trong giai đoạn beta, đã phát hiện các lỗi bảo mật thực tế như SSRF·lỗ hổng xác thực chéo tenant, đồng thời ghi nhận giảm hơn 50% tỷ lệ dương tính giảgiảm hơn 90% tình trạng báo cáo phóng đại mức độ nghiêm trọng
  • Hiện được cung cấp dưới dạng bản xem trước nghiên cứu miễn phí 1 tháng cho khách hàng ChatGPT Pro·Enterprise·Business·Edu, hỗ trợ mô hình hóa mối đe dọa theo từng hệ thống·xác minh·đề xuất bản vá
  • Trong hệ sinh thái mã nguồn mở, công cụ này cũng đã phát hiện và báo cáo các lỗ hổng CVE trong những dự án lớn như OpenSSH, GnuTLS, GOGS, và dự kiến sẽ mở rộng hỗ trợ cho các maintainer thông qua chương trình Codex for OSS

Tổng quan về Codex Security

  • Codex Security sử dụng các mô hình frontier của OpenAI và tác nhân Codex để thực hiện phân tích bảo mật dựa trên ngữ cảnh dự án
    • Không chỉ là phân tích tĩnh đơn thuần mà còn hỗ trợ tự động hóa phát hiện·xác minh·vá lỗi dựa trên ngữ cảnh của từng hệ thống
    • Giúp đội ngũ bảo mật tập trung vào các lỗ hổng quan trọng và tăng tốc độ triển khai mã an toàn
  • Mục tiêu là giảm cảnh báo độ tin cậy thấp và gánh nặng phân loại quá mức do các công cụ bảo mật AI hiện có gây ra

Beta test và cải thiện hiệu năng

  • Trong bản beta đầu tiên (tên cũ là Aardvark), công cụ đã phát hiện các lỗi bảo mật thực tế như SSRF, lỗ hổng xác thực chéo tenant
  • Kết quả quét lặp lại cho thấy giảm 84% nhiễu, giảm hơn 90% báo cáo phóng đại mức độ nghiêm trọng, giảm hơn 50% tỷ lệ dương tính giả
  • Trong 30 ngày, công cụ đã quét 1,2 triệu commit và phát hiện 792 lỗ hổng nghiêm trọng, 10.561 lỗ hổng mức độ cao
    • Các lỗ hổng nghiêm trọng chiếm dưới 0,1% tổng số commit, cho thấy khả năng phát hiện hiệu quả ngay cả trong mã nguồn quy mô lớn

Tính năng chính

  • Xây dựng ngữ cảnh hệ thống và tạo mô hình mối đe dọa
    • Phân tích cấu trúc repository để tự động tạo mô hình mối đe dọa cho từng dự án
    • Mô hình có thể chỉnh sửa và điều chỉnh theo tiêu chuẩn bảo mật của từng nhóm
  • Ưu tiên hóa và xác minh vấn đề
    • Dựa trên mô hình mối đe dọa để phân loại lỗ hổng theo tác động thực tế
    • Xác minh trong môi trường sandbox để phân biệt tín hiệu với nhiễu, đồng thời hỗ trợ tạo PoC có thể thực thi
  • Đề xuất bản vá dựa trên ngữ cảnh hệ thống
    • Đưa ra phương án sửa lỗi an toàn có tính đến ý đồ của mã và hành vi xung quanh, giúp giảm thiểu rủi ro hồi quy
    • Có thể quản lý mức độ ưu tiên theo từng nhóm bằng bộ lọc mức độ quan trọng
  • Tính năng học từ phản hồi
    • Khi người dùng điều chỉnh mức độ nghiêm trọng, hệ thống sẽ phản ánh điều đó để nâng cao độ chính xác của mô hình mối đe dọa

Hỗ trợ hệ sinh thái mã nguồn mở

  • OpenAI sử dụng Codex Security để quét các repository mã nguồn mở mà họ đang phụ thuộc, và chia sẻ thông tin về các lỗ hổng nghiêm trọng được phát hiện với maintainer
  • Các maintainer đã chỉ ra vấn đề quá nhiều báo cáo chất lượng thấp, vì vậy Codex Security được thiết kế theo cơ chế báo cáo tập trung vào lỗ hổng có độ tin cậy cao
  • Thông qua chương trình Codex for OSS, OpenAI cung cấp cho maintainer mã nguồn mở tài khoản ChatGPT Pro/Plus miễn phí, hỗ trợ code review và phân tích bảo mật
    • vLLM là một trong những dự án tham gia ban đầu
    • Dự kiến sẽ mở rộng cho nhiều maintainer hơn trong tương lai

Các lỗ hổng mã nguồn mở đáng chú ý đã được phát hiện (một số CVE)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — các hàm liên quan đến LdapUserMap (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) cùng nhiều lỗi khác

Triển khai và truy cập

  • Cung cấp bản xem trước nghiên cứu miễn phí 1 tháng qua web Codex cho khách hàng ChatGPT Pro, Enterprise, Business, Edu
  • Trong tương lai, người dùng có thể xem thiết lập theo nhóm và cách sử dụng trên trang tài liệu Codex Security
  • NETGEAR là một trong các công ty tham gia chương trình truy cập sớm và đánh giá rằng Codex Security đã giúp tăng tốc độ và độ sâu của quy trình rà soát bảo mật

Kết luận

  • Codex Security là một cách tiếp cận mới kết hợp tự động hóa bảo mật dựa trên AI và xác minh lỗ hổng độ tin cậy cao
  • Công cụ này hướng tới nâng cao hiệu quả cho đội ngũ bảo mật, củng cố hệ sinh thái mã nguồn mở, và phát hiện rủi ro thực chất trong các codebase quy mô lớn

Bài viết liên quan

Chưa có bình luận nào.

Chưa có bình luận nào.