Codex Security - Pratinjau Riset Dirilis

 (openai.com)
5 poin oleh GN⁺ 2026-03-07 | Belum ada komentar. | Bagikan ke WhatsApp
  • Agen keamanan aplikasi berbasis AI yang menganalisis konteks proyek untuk mendeteksi, memverifikasi, dan menambal kerentanan kompleks
  • Dirancang untuk mengurangi masalah false positive berlebihan dan peringatan berkepercayaan rendah yang dihasilkan alat keamanan lama, serta membantu tim fokus pada kerentanan dengan risiko nyata yang tinggi
  • Pada tahap beta, sistem ini mendeteksi cacat keamanan nyata seperti SSRF dan kerentanan autentikasi lintas-tenant, serta mencatat hasil penurunan false positive lebih dari 50% dan penurunan laporan tingkat keparahan yang dibesar-besarkan lebih dari 90%
  • Saat ini tersedia sebagai pratinjau riset gratis selama 1 bulan untuk pelanggan ChatGPT Pro, Enterprise, Business, dan Edu, dengan dukungan pemodelan ancaman, verifikasi, dan saran patch per sistem
  • Di ekosistem open source, sistem ini juga menemukan dan melaporkan kerentanan CVE pada proyek utama seperti OpenSSH, GnuTLS, dan GOGS, serta berencana memperluas dukungan maintainer melalui program Codex for OSS

Gambaran Umum Codex Security

  • Codex Security menggunakan model frontier OpenAI dan agen Codex untuk melakukan analisis keamanan berbasis konteks proyek
    • Bukan sekadar analisis statis, tetapi mendukung otomatisasi deteksi, verifikasi, dan patch berbasis konteks sistem
    • Memungkinkan tim keamanan fokus pada kerentanan penting dan meningkatkan kecepatan deployment kode yang aman
  • Bertujuan mengurangi peringatan berkepercayaan rendah dan beban klasifikasi berlebihan yang ditimbulkan alat keamanan AI yang ada

Pengujian Beta dan Peningkatan Performa

  • Pada beta awal (sebelumnya bernama Aardvark), sistem ini mendeteksi cacat keamanan nyata seperti SSRF dan kerentanan autentikasi lintas-tenant
  • Hasil pemindaian berulang menunjukkan noise turun 84%, laporan tingkat keparahan yang dibesar-besarkan turun lebih dari 90%, dan false positive turun lebih dari 50%
  • Dalam 30 hari, sistem memindai 1,2 juta commit dan mendeteksi 792 kerentanan kritis serta 10.561 kerentanan dengan tingkat keparahan tinggi
    • Kerentanan kritis mencakup kurang dari 0,1% dari seluruh commit, membuktikan potensi deteksi yang efisien bahkan pada kode berskala besar

Fitur Utama

  • Membangun konteks sistem dan membuat model ancaman
    • Menganalisis struktur repositori untuk secara otomatis membuat model ancaman per proyek
    • Model dapat diedit dan disesuaikan dengan standar keamanan tim
  • Prioritisasi dan verifikasi isu
    • Berdasarkan model ancaman, sistem melakukan klasifikasi kerentanan yang berfokus pada dampak nyata
    • Diverifikasi di lingkungan sandbox untuk membedakan signal dan noise, serta mendukung pembuatan PoC yang dapat dijalankan
  • Saran patch berbasis konteks sistem
    • Menyajikan usulan perbaikan yang aman dengan mempertimbangkan niat kode dan perilaku sekitarnya, sehingga meminimalkan risiko regresi
    • Penyaringan berdasarkan tingkat kepentingan memungkinkan pengelolaan prioritas per tim
  • Fitur pembelajaran dari feedback
    • Jika pengguna menyesuaikan tingkat keparahan, sistem akan mencerminkannya untuk meningkatkan presisi model ancaman

Dukungan untuk Ekosistem Open Source

  • OpenAI menggunakan Codex Security untuk memindai repositori open source yang menjadi dependensi internalnya, lalu membagikan informasi kerentanan penting yang ditemukan kepada para maintainer
  • Para maintainer menyoroti masalah banjir laporan berkualitas rendah, sehingga Codex Security dirancang sebagai sistem pelaporan yang berfokus pada kerentanan berkepercayaan tinggi
  • Melalui program Codex for OSS, maintainer open source akan mendapat akun ChatGPT Pro/Plus gratis, code review, dan dukungan analisis keamanan
    • vLLM termasuk dalam proyek peserta awal
    • Ke depan akan diperluas ke lebih banyak maintainer

Kerentanan Open Source Utama yang Ditemukan (sebagian CVE)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — fungsi terkait LdapUserMap (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) dan banyak lainnya

Peluncuran dan Akses

  • Pelanggan ChatGPT Pro, Enterprise, Business, dan Edu mendapatkan pratinjau riset gratis selama 1 bulan melalui web Codex
  • Ke depannya, pengaturan per tim dan cara penggunaan dapat dilihat di halaman dokumentasi Codex Security
  • NETGEAR ikut serta dalam program akses awal dan menilai Codex Security membantu meningkatkan kecepatan serta kedalaman review keamanan

Kesimpulan

  • Codex Security menghadirkan pendekatan baru yang menggabungkan otomatisasi keamanan berbasis AI dan verifikasi kerentanan berkepercayaan tinggi
  • Sistem ini bertujuan meningkatkan efisiensi tim keamanan, memperkuat ekosistem open source, dan mendeteksi risiko nyata dalam codebase berskala besar

Bacaan terkait

Belum ada komentar.

Belum ada komentar.