إطلاق OpenAI ل Codex Security لتحديد الثغرات في الشفرة

أصدرت OpenAI Codex Security في 6 مارس، وهو عميل أمان تطبيقات مدعوم بالذكاء الاصطناعي يفحص قواعد الشفرة للثغرات، ويتحقق من النتائج في بيئات معزولة، ويقترح تصحيحات. وقد كشف الأداة بالفعل عن عيوب في OpenSSH و Chromium وخمسة مشاريع مفتوحة المصدر شائعة الاستخدام الأخرى، وحصلت على 14 تصنيفًا لثغرات وتعرضات شائعة (CVE).

Codex Security، المعروفة سابقًا باسم Aardvark، قضت حوالي عام في اختبار بيتا خاص قبل التخرج إلى معاينة بحث متاحة لزملاء ChatGPT Pro و Enterprise و Business و Edu. وتقدم OpenAI وصولًا مجانيًا لمدة شهر.

يتفوق العميل على أدوات التحليل الثابت التقليدية من خلال بناء نموذج تهديد محدد للمشروع قبل الفحص. يقوم بتحليل هيكل المستودع لفهم ما الذي يفعله النظام، وما الذي يثق به، وأين تكون التعرض أعلى. يمكن للفرق تحرير نموذج التهديد للحفاظ على النتائج مطابقة لموقف المخاطر. عند تكوينها مع بيئة مخصصة، يقوم Codex Security بتحديد الثغرات المحتملة مباشرة ضد النظام التشغيلي، وإنشاء أدلة概念ية لتأكيد التأثير في العالم الحقيقي.

الأداء على نطاق واسع

خلال الأيام الثلاثين الماضية من اختبار بيتا، قام Codex Security بفحص أكثر من 1.2 مليون تعديل عبر المستودعات الخارجية، وrought إلى سطح 792 نتيجة حرجة و 10،561 قضية خطيرة. ظهرت الثغرات الحرجة في أقل من 0.1٪ من التعديلات المفحوصة، مما يشير إلى أن النظام يمكنه معالجة قواعد شفرة كبيرة مع الحفاظ على الضوضاء تحت السيطرة للمراجعين.

تقرير OpenAI أن الدقة تحسنت بشكل كبير خلال فترة بيتا. في حالة واحدة، انخفضت الضوضاء بنسبة 84٪ بين الإطلاق الأولي والإصدار الحالي. انخفضت معدلات الإيجابيات الكاذبة بنسبة أكثر من 50٪ عبر جميع المستودعات، وتراجعت النتائج التي تم الإبلاغ عنها بدرجة أعلى بنسبة أكثر من 90٪. كما يدمج العميل التغذية الراجعة: عند تعديل المستخدمين لدرجة حرجة للنتيجة، يراجع نموذج التهديد لفحوصات لاحقة.

تعالج هذه الأرقام شكوى متكررة من فرق الأمان التي تقيم أدوات الترميز بالذكاء الاصطناعي. وجدت تحليل 2025 ل 80 مهمة ترميز عبر أكثر من 100 نموذج لغة كبير أن الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي تُدخل ثغرات أمنية في 45٪ من الحالات، مما يجعل أدوات الكشف عن التهديدات في مجرى النهر مهمة بشكل متزايد مع انتشار الشفرة المكتوبة بواسطة الذكاء الاصطناعي.

اكتشافات الثغرات مفتوحة المصدر

قامت OpenAI بتشغيل Codex Security ضد المستودعات مفتوحة المصدر التي تعتمد عليها، وتقديم نتائج عالية التأثير للمحافظين. تشمل القائمة المعلنة OpenSSH و GnuTLS و GOGS و Thorium و libssh و PHP و Chromium. من بين 14 تصنيف CVE المحدد، كان هناك تقرير مزدوج مع باحثين آخرين.

في محادثات مع المحافظين، قالت OpenAI أن التحدي الرئيسي لم يكن نقصًا في تقارير الثغرات ولكن فائضًا من التقارير ذات الجودة المنخفضة. كان المحافظون بحاجة إلى إيجابيات كاذبة أقل وعبء التriage أقل – التغذية الراجعة التي شكلت تركيز Codex Security على النتائج عالية الثقة أكثر من الحجم.

أعلنت الشركة أيضًا عن Codex for OSS، برنامج ي 제공 حسابات ChatGPT Pro و Plus مجانًا، ودعم استعراض الشفرة، ووصول إلى Codex Security للمحافظين مفتوحي المصدر. وقد استخدم مشروع vLLM الأداة بالفعل لتحديد ومعالجة القضايا في سير العمل العادي. تخطط OpenAI لتوسيع البرنامج في الأسابيع القادمة.

يضع الإطلاق OpenAI كمشارك مباشر في أمان التطبيقات، وهو سوق حيث أقامت الشركات الراسخة مثل Snyk و Semgrep و Veracode موطئ قدم. نشرت Google مؤخرًا هيكل أمان مفصل لميزات وكلاء الذكاء الاصطناعي في Chrome، مما يشير إلى أن تقاطع وكلاء الذكاء الاصطناعي وأدوات الأمان يجذب الانتباه من اتجاهات متعددة.

لا تزال العديد من الأسئلة بدون إجابة. لم تكشف OpenAI عن التسعير بعد فترة التجربة المجانية، ولم تحدد أي نموذج متقدم ي驱ر تفكير Codex Security. تعمل الأداة حاليًا من خلال Codex web بدلاً من تقديم دمج على مستوى واجهة برمجة التطبيقات، مما قد يحد من اعتمادها من قبل الفرق التي لديها خطوط أنابيب أتمتة أمان موجودة . سوف تحدد ما إذا كان العميل سوف يظل عنصرًا دائمًا في حزمة التطوير المدعومة بالذكاء الاصطناعي أو يبقى معاينة بحثية.