OpenAI, Codex Güvenlik’i Kodlardaki Zayıflıkları Bulmak için Lansmanını Gerçekleştirdi

OpenAI, 6 Mart’ta Codex Güvenlik adlı bir AI destekli uygulama güvenlik aracını yayınladı. Bu araç, kod tabanlarını zayıflıklar için taramakta, bulguları kumanda edilen ortamlarda doğrulamakta ve yamalar önermektedir. Araç, OpenSSH, Chromium ve beş diğer yaygın olarak kullanılan açık kaynak projelerinde alreadya hatalar keşfetti ve 14 Common Vulnerabilities and Exposures (CVE) tanımlaması elde etti.

Codex Güvenlik, daha önce Aardvark olarak bilinen, yaklaşık bir yıl özel beta sürümde kaldıktan sonra ChatGPT Pro, Enterprise, Business ve Edu müşterilerine açık bir araştırma önizlemesine geçti. OpenAI, ilk ay için ücretsiz erişim sunuyor.

Aracın geleneksel statik analiz araçlarından farklı olarak, taramadan önce proje özgü bir tehdit modeli oluşturmasıdır. Bir depoyu analiz ederek sistemin ne yaptığını, neye güvendiğini ve nerede en fazla maruz kalındığını anlamaktadır. Ekipler, bulguları risk duruşları ile hizalamak için tehdit modelini düzenleyebilir. Özelleştirilmiş bir ortamla yapılandırıldığında, Codex Güvenlik olası zayıflıkları doğrudan çalışır sistemlere karşı test etmektedir ve gerçek dünya etkisini doğrulamak için kavram kanıtları oluşturmaktadır.

Ölçeklendirilmiş Performans

Son 30 gün içinde beta testi sırasında, Codex Güvenlik dış depolardaki 1,2 milyondan fazla taahhütü tarayarak 792 kritik bulgu ve 10.561 yüksek şiddette sorun ortaya çıkardı. Kritik zayıflıklar, taranan taahhütlerin %0,1’inden azında göründü, bu da sistemin büyük kod tabanlarını işlerken gürültüyü gözden geçiriciler için yönetilebilir tutabileceğini gösteriyor.

OpenAI, beta döneminde doğruluğun önemli ölçüde iyileştiğini bildirdi. Bir durumda, ilk sürüm ve mevcut sürüm arasında gürültü %84 azaldı. Tüm depolarda, yanlış pozitif oranları %50’den fazla düşerken, aşırı bildirilen şiddetteki bulgular %90’dan fazla azaldı. Aracın ayrıca geri bildirimi entegre etmesi: kullanıcılar bir bulgunun kritikliğini ayarladığında, tehdit modelini sonraki taramalar için iyileştirir.

Bu rakamlar, güvenlik ekiplerinin AI kodlama araçlarını değerlendirmesi sırasında ortaya çıkan sürekli bir şikayeti ele almaktadır. 2025 yılında, 100’den fazla büyük dil modeli boyunca 80 kodlama görevinin analizi, AI tarafından oluşturulan kodun %45’inde güvenlik zayıflıkları ortaya çıkardığını gösterdi, bu da AI tarafından yazılan kodun artmasıyla birlikte aşağı akış algılama araçlarının giderek daha önemli hale gelmesi anlamına geliyor.

Açık Kaynak Zayıflık Keşifleri

OpenAI, Codex Güvenlik’i bağımlı olduğu açık kaynak depolarına karşı çalıştırdı ve yüksek etkili bulguları bakımına bildirdi. Açıklanan liste, OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP ve Chromium’u içeriyor. 14 atanmış CVE’nin iki tanesi diğer araştırmacılarla çift raporlama içeriyordu.

Bakımcılarla yapılan görüşmelerde, OpenAI’nin temel zorluğun güvenlik açığı raporlarının eksikliği değil, düşük kaliteli raporların fazlalığı olduğunu belirtti. Bakımcılar, daha az yanlış pozitife ve daha az triyaj yüküne ihtiyaç duyuyorlardı – Codex Güvenlik’in yüksek güven düzeyindeki bulgulara odaklanmasını şekillendiren bir geri bildirim.

Şirket ayrıca, açık kaynak bakımına ücretsiz ChatGPT Pro ve Plus hesapları, kod inceleme desteği ve Codex Güvenlik erişimi sağlayan Codex for OSS programını duyurdu. vLLM projesi, aracı normal iş akışında sorunları bulmak ve yamak için zaten kullanmıştı. OpenAI, programı önümüzdeki haftalarda genişletmeyi planlıyor.

Lansman, OpenAI’yi bir uygulama güvenlik aracı olarak doğrudan katılımcı olarak konumlandırıyor, bu piyasada Snyk, Semgrep ve Veracode gibi mevcut oyuncular alreadya yerleşik bir konumda bulunuyor. Google, Chrome’un AI aracının güvenlik mimarisini ayrıntılı olarak yayınladı, bu da AI aracıları ve güvenlik araçlarının kesişmesinin birden fazla yönden ilgi gördüğünü gösteriyor.

Birkaç soru hala cevapsız kaldı. OpenAI, ücretsiz deneme döneminin ardından fiyatlarını açıklamadı ve Codex Güvenlik’in akıl yürütmesini sağlayan ön modelin hangisi olduğunu belirtmedi. Araç, şu anda Codex web üzerinden çalışmakta ve API düzeyinde entegrasyon sunmamaktadır, bu da mevcut güvenlik otomasyon.pipeline sahip ekipler tarafından benimsenmesini potansiyel olarak sınırlayabilir. Codex Güvenlik’in beta ötesinde ölçeklenirken doğruluk iyileştirmelerini sürdürebilmesi ve açık kaynak bakımının programı anlamlı bir ölçekte benimseyip benimsemeyeceği, aracın AI destekli geliştirme yığınında kalıcı bir unsur olup olmayacağını belirleyecektir.