Codex Security - Araştırma Önizlemesi Yayında

 (openai.com)
5 puan yazan GN⁺ 2026-03-07 | Henüz yorum yok. | WhatsApp'ta paylaş
  • Proje bağlamını analiz ederek karmaşık güvenlik açıklarını tespit eden, doğrulayan ve yamalayan yapay zeka tabanlı bir uygulama güvenliği ajanı
  • Mevcut güvenlik araçlarının ürettiği aşırı yanlış pozitif ve düşük güvenilirlikli uyarı sorununu azaltmak ve gerçekten yüksek riskli güvenlik açıklarına odaklanmak için tasarlandı
  • Beta aşamasında SSRF, çapraz kiracılı kimlik doğrulama açıkları gibi gerçek güvenlik kusurlarını tespit etti; yanlış pozitif oranında %50'den fazla azalma, ciddiyetin abartılı raporlanmasında %90'dan fazla düşüş sağladı
  • Şu anda ChatGPT Pro, Enterprise, Business ve Edu müşterilerine 1 aylık ücretsiz araştırma önizlemesi olarak sunuluyor; sistem bazlı tehdit modelleme, doğrulama ve yama önerisi özelliklerini destekliyor
  • Açık kaynak ekosisteminde de OpenSSH, GnuTLS, GOGS gibi önemli projelerdeki CVE güvenlik açıklarını bulup raporladı ve Codex for OSS programı aracılığıyla bakımcı desteğini genişletmeyi planlıyor

Codex Security genel bakış

  • Codex Security, OpenAI'ın frontier modelleri ve Codex ajanını kullanarak proje bağlamına dayalı güvenlik analizi yapar
    • Basit statik analiz yerine sistem bazlı bağlamla tespit, doğrulama ve yama otomasyonu sağlar
    • Güvenlik ekiplerinin önemli güvenlik açıklarına odaklanmasını ve güvenli kod dağıtım hızını artırmasını mümkün kılar
  • Mevcut yapay zeka güvenlik araçlarının yol açtığı düşük güvenilirlikli uyarılar ve aşırı sınıflandırma iş yükünü azaltmayı hedefler

Beta testi ve performans iyileştirmeleri

  • İlk beta sürümünde (önceki adı Aardvark), SSRF ve çapraz kiracılı kimlik doğrulama açıkları gibi gerçek güvenlik kusurlarını tespit etti
  • Tekrarlı tarama sonuçlarında gürültü %84 azaldı, ciddiyetin abartılı raporlanması %90'dan fazla düştü, yanlış pozitif oranı %50'den fazla azaldı
  • 30 günde 1,2 milyon commit tarayarak 792 kritik güvenlik açığı ve 10.561 yüksek ciddiyetli güvenlik açığı tespit etti
    • Kritik güvenlik açıkları tüm commit'lerin %0,1'inden azını oluşturdu; bu da büyük ölçekli kodlarda verimli tespit potansiyelini gösterdi

Temel özellikler

  • Sistem bağlamı oluşturma ve tehdit modeli üretimi
    • Depo yapısını analiz ederek proje bazlı tehdit modellerini otomatik oluşturur
    • Model düzenlenebilir ve ekibin güvenlik standartlarına göre uyarlanabilir
  • Sorun önceliklendirme ve doğrulama
    • Tehdit modeline dayanarak gerçek etki odaklı güvenlik açığı sınıflandırması yapar
    • Sandbox ortamında doğrulama yaparak sinyal ile gürültüyü ayırmaya ve çalıştırılabilir PoC üretimine destek verir
  • Sistem bağlamına dayalı yama önerileri
    • Kodun amacını ve çevresindeki davranışı dikkate alarak güvenli düzeltme önerileri sunar, regresyon riskini en aza indirir
    • Önem filtresi ile ekip bazında öncelik yönetimi yapılabilir
  • Geri bildirimden öğrenme özelliği
    • Kullanıcı ciddiyet seviyesini ayarladığında bunu yansıtarak tehdit modeli hassasiyetini artırır

Açık kaynak ekosistemine destek

  • OpenAI, Codex Security ile kendi bağımlı olduğu açık kaynak depolarını tarıyor ve bulunan kritik güvenlik açığı bilgilerini bakımcılarla paylaşıyor
  • Bakımcılar, düşük kaliteli rapor fazlalığı sorununa dikkat çekti; buna yanıt olarak Codex Security, yüksek güvenilirlikli güvenlik açığı odaklı raporlama sistemi ile tasarlandı
  • Codex for OSS programı aracılığıyla açık kaynak bakımcılarına ücretsiz ChatGPT Pro/Plus hesabı, kod inceleme ve güvenlik analizi desteği sunuluyor
    • İlk katılımcı projeler arasında vLLM yer alıyor
    • Gelecekte daha fazla bakımcıya genişletilmesi planlanıyor

Tespit edilen başlıca açık kaynak güvenlik açıkları (bazı CVE'ler)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — LdapUserMap ile ilgili işlevler (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) ve daha fazlası

Dağıtım ve erişim

  • ChatGPT Pro, Enterprise, Business ve Edu müşterilerine, Codex web üzerinden 1 aylık ücretsiz araştırma önizlemesi sunuluyor
  • İleride Codex Security dokümantasyon sayfası üzerinden ekip ayarları ve kullanım bilgileri erişilebilir olacak
  • NETGEAR, erken erişim programına katılan şirketlerden biri; Codex Security'nin güvenlik inceleme hızını ve derinliğini artırmaya katkı sağladığını belirtti

Sonuç

  • Codex Security, yapay zeka tabanlı güvenlik otomasyonu ile yüksek güvenilirlikli güvenlik açığı doğrulamayı birleştiren yeni bir yaklaşım
  • Güvenlik ekiplerinin verimliliğini artırmayı, açık kaynak ekosistemini güçlendirmeyi ve büyük kod tabanlarındaki gerçek riskleri tespit etmeyi hedefliyor

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.