OpenAI запустила Codex Security — ИИ-агента для поиска уязвимостей в коде. За время закрытой беты, которая шла с прошлого года под кодовым названием Aardvark, агент просканировал более 1,2 млн коммитов и нашел 792 критических и свыше 10 500 высокоприоритетных проблем. Четырнадцать уязвимостей получили официальные CVE — среди затронутых проектов OpenSSH, GnuTLS, Chromium, GOGS и libssh.

Codex Security работает иначе, чем типичные сканеры: сначала он анализирует репозиторий и строит модель угроз конкретного проекта — что система делает, чему доверяет, где наиболее уязвима. Затем ищет проблемы, ранжирует их по реальному воздействию и, где возможно, проверяет находки в песочнице, генерируя доказательства эксплуатации. На выходе — не просто отчет, а готовые патчи с учетом архитектуры проекта.

Главная ставка — на снижение шума. За время беты OpenAI сократила долю ложных срабатываний более чем на 50%, а количество находок с завышенной критичностью — на 90%. В одном из репозиториев информационный шум упал на 84% между первым и последним сканом. Критические проблемы обнаруживались менее чем в 0,1% проверенных коммитов.

Среди находок — обход двухфакторной аутентификации в GOGS, переполнение буфера в GnuTLS, переполнение стекового буфера в gpg-agent при работе с TPM2, а также ошибки во внутренних системах самой OpenAI.

Codex Security доступен в режиме исследовательского превью для клиентов ChatGPT Enterprise, Business и Edu — в течение первого месяца бесплатно. Параллельно OpenAI запускает программу Codex for OSS, в рамках которой мейнтейнеры открытых проектов получают бесплатный доступ к агенту. Среди первых участников — команда vLLM. Чандан Нандакумарайя, глава продуктовой безопасности NETGEAR, сравнил работу агента с тем, как если бы "рядом работал опытный исследователь безопасности".

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.