Connect with us

Кібербезпека

OpenAI запускає Codex Security для пошуку вразливостей у коді

mm
Published
Updated

OpenAI випустила Codex Security 6 березня — це агент безпеки додатків на основі штучного інтелекту, який сканує кодові бази на наявність вразливостей, перевіряє знахідки в ізольованих середовищах та пропонує латки. Інструмент вже виявив недоліки в OpenSSH, Chromium та п’яти інших широко використовуваних проектах з відкритим кодом, отримавши 14 позначок Common Vulnerabilities and Exposures (CVE). Codex Security, раніше відомий як Aardvark, провів приблизно рік у приватній бета-версії, перш ніж перейти до стадії дослідницького попереднього перегляду, доступного клієнтам ChatGPT Pro, Enterprise, Business та Edu. OpenAI пропонує безкоштовний доступ протягом першого місяця. Цей агент відрізняється від звичайних інструментів статичного аналізу тим, що спочатку створює модель загроз для конкретного проекту перед скануванням. Він аналізує архітектуру репозиторію, щоб зрозуміти, що робить система, чому вона довіряє та де рівень експозиції найвищий. Команди можуть редагувати модель загроз, щоб знахідки відповідали їхній позиції щодо ризиків. Коли Codex Security налаштований зі спеціальним середовищем, він безпосередньо тестує потенційні вразливості на працюючій системі під навантаженням, генеруючи експлойти для підтвердження практичного впливу.

Продуктивність у масштабі

За останні 30 днів бета-тестування Codex Security просканував понад 1,2 мільйона комітів у зовнішніх репозиторіях, виявивши 792 критичні знахідки та 10 561 проблему високої серйозності. Критичні вразливості з’являлися менш ніж у 0,1% просканованих комітів, що свідчить про здатність системи обробляти великі кодові бази, зберігаючи рівень шуму керованим для рецензентів. OpenAI повідомляє, що точність значно покращилася протягом бета-періоду. В одному випадку рівень шуму впав на 84% між початковим запуском та поточною версією. У всіх репозиторіях рівень хибнопозитивних спрацьовувань знизився більш ніж на 50%, а знахідок із завищеною серйозністю стало менше на понад 90%. Агент також враховує зворотний зв’язок: коли користувачі коригують критичність знахідки, він уточнює модель загроз для наступних сканувань. Ці цифри стосуються постійного зауваження від команд безпеки, які оцінюють інструменти генерації коду на основі ШІ. Аналіз 2025 року 80 завдань з кодування у понад 100 великих мовних моделях показав, що код, згенерований ШІ, вносить вразливості безпеки в 45% випадків, що робить інструменти виявлення наступних етапів все більш важливими в міру поширення коду, написаного ШІ.

Відкриття вразливостей у відкритому коді

OpenAI запускала Codex Security на репозиторіях з відкритим кодом, від яких залежить, повідомляючи про високо-впливові знахідки їхнім супроводжувачам. Розкритий список включає OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP та Chromium. З 14 призначених CVE два випадки були пов’язані з подвійним звітуванням разом з іншими дослідниками. У бесідах із супроводжувачами OpenAI зазначила, що основною проблемою була не нестача звітів про вразливості, а їх надлишок низької якості. Супроводжувачам потрібно було менше хибнопозитивних спрацьовувань і менше навантаження на тріаж — цей зворотний зв’язок сформував акцент Codex Security на високовпевнених знахідках, а не на їхній кількості. Компанія також оголосила про Codex for OSS — програму, яка надає безкоштовні облікові записи ChatGPT Pro і Plus, підтримку код-рев’ю та доступ до Codex Security супроводжувачам проєктів з відкритим кодом. Проєкт vLLM вже використав цей інструмент для пошуку та виправлення проблем у своєму звичайному робочому процесі. OpenAI планує розширити програму в найближчі тижні. Цей запуск позиціонує OpenAI як прямого учасника ринку безпеки додатків, де такі гравці, як Snyk, Semgrep та Veracode, вже закріпилися. Google нещодавно опублікував детальну архітектуру безпеки для власних функцій AI-агента в Chrome, сигналізуючи, що перетин AI-агентів та інструментів безпеки привертає увагу з кількох боків. Залишилося кілька відкритих питань. OpenAI не розкрила ціни після безкоштовного пробного періоду, а також не вказала, яка саме фронтирна модель забезпечує логіку Codex Security. Наразі інструмент працює через Codex web, а не пропонує інтеграцію на рівні API, що потенційно обмежує його впровадження командами з наявними конвеєрами автоматизації безпеки. Чи зможе Codex Security підтримувати своє покращення точності в міру масштабування за межі бета-версії — і чи приймуть супроводжувачі відкритого коду програму в значному масштабі — визначить, чи стане цей агент постійним елементом стеку розробки з підтримкою ШІ, чи залишиться дослідницьким попереднім переглядом.

Related Topics:
mm

Алекс МакФарланд — журналіст і письменник у сфері штучного інтелекту, який досліджує найновіші досягнення в галузі. Він співпрацював з численними стартапами та виданнями, що спеціалізуються на ШІ, по всьому світу.