OpenAI Codex Security nuskenavo 1,2 mln. programinio kodo pateikimų: aptikta 10 561 didelio pavojingumo problema

Programinės įrangos saugumo srityje vyksta pokytis nuo reaktyvaus spragų taisymo prie proaktyvaus, DI valdomo identifikavimo. „OpenAI“ oficialiai įžengė į šią areną pristatydama Codex Security – sudėtingą DI varomą saugumo agentą. Per pirmąjį didelio masto diegimą įrankis nuskenavo 1,2 milijono programinio kodo pateikimų (commits) ir nustatė 10 561 didelio pavojingumo pažeidžiamumą – problemas, kurias tradiciniai automatizuoti įrankiai dažnai praleidžia.

Šis išleidimas žymi svarbų etapą „DevSecOps“ evoliucijoje. Peržengdama paprasto šablonų atpažinimo ribas, „OpenAI“ siekia suteikti kūrėjams įrankį, kuris supranta pažeidžiamumo priežastį („kodėl“), o ne tik jo vietą („kur“).

Nuo „Aardvark“ iki „Codex Security“

„Codex Security“ yra tiesioginis Aardvark – vidinio „OpenAI“ projekto, kurį bendrovė pradėjo testuoti privačioje beta versijoje 2025 m. pabaigoje – įpėdinis. Nors „Aardvark“ daugiausia buvo naudojamas padėti patiems „OpenAI“ kūrėjams apsaugoti savo infrastruktūrą, „Codex Security“ buvo ištobulintas į vartotojams paruoštą agentinį įrankį.

Skirtingai nei tradiciniai statinės analizės saugumo testavimo (SAST) įrankiai, kurie žymi potencialias problemas remdamiesi griežtomis taisyklėmis, „Codex Security“ veikia kaip „agentas“. Tai reiškia, kad jis ne tik skenuoja kodą; jis naršo po kodo bazę, supranta priklausomybes ir patikrina, ar potencialus trūkumas iš tikrųjų yra išnaudojamas konkrečiame programos kontekste. „OpenAI“ teigimu, ši evoliucija iš pasyvaus skenerio į aktyvų tikrintoją sumažina „triukšmą“, kylantį dėl klaidingai teigiamų rezultatų, kurie dažnai vargina saugumo komandas.

Gilaus konteksto galia

Vienas iš pagrindinių automatizuoto saugumo iššūkių yra kontekstas. Kodo fragmentas izoliuotas gali atrodyti pavojingas, tačiau būti visiškai saugus dėl išorinio duomenų valymo ar architektūrinių apribojimų. Ir priešingai – iš pažiūros nekaltas kodas gali būti katastrofiškas, kai jis derinamas su specifinėmis bibliotekų versijomis ar aplinkos kintamaisiais.

„OpenAI“ šią galimybę vadina „giliu kontekstu“. Norėdami tai suprasti, įsivaizduokite pastatų inspektorių. Tradicinis įrankis yra tarsi jutiklis, kuris pypsi pamatęs nutrintą laidą. „Codex Security“ yra tarsi patyręs elektrikas, kuris mato nutrintą laidą, atseka jį iki saugiklių dėžutės, supranta, kad tai yra dubliuotos sistemos dalis, kurioje šiuo metu nėra įtampos, ir nusprendžia, ar tai kelia tikrą gaisro pavojų, ar tiesiog reikia nedidelio pataisymo.

Sukurdamas tokį išsamų projekto žemėlapį, agentas gali pateikti patikimesnes išvadas. Tai leidžia kūrėjams sutelkti savo ribotą laiką į 10 561 didelio pavojingumo problemą, kuri yra iš tiesų svarbi, užuot naršius po tūkstančius mažą poveikį turinčių įspėjimų.

Metodų palyginimas: DI prieš tradicinį SAST

Norint suprasti, kur „Codex Security“ dera šiuolaikinėje kūrimo darbo eigoje, naudinga palyginti jos galimybes su tradiciniais saugumo įrankiais.

10 561 radinio analizė

Nors „OpenAI“ nepaskelbė išsamaus konkrečių pažeidžiamumų, rastų per 1,2 mln. pateikimų skenavimą, suskirstymo, „didelio pavojingumo“ etiketė paprastai reiškia trūkumus, kurie gali lemti neteisėtą prieigą prie duomenų, nuotolinį kodo vykdymą (RCE) arba visišką sistemos kompromitavimą.

Daugeliu atvejų šie pažeidžiamumai buvo rasti ne naujame kode, o senose saugyklų dalyse (legacy), kur prieš kelerius metus darytos saugumo prielaidos nebegalioja. Agentinė „Codex Security“ prigimtis leidžia jai „perskaityti“ seną kodą per šiuolaikinių grėsmių vektorių prizmę, nustatant logines klaidas, kurios metų metus buvo matomos visiems, bet niekieno nepastebėtos.

Praktiniai patarimai kūrėjams

„Codex Security“ šiuo metu pasiekiama tyrimų peržiūros (research preview) režimu „ChatGPT Pro“, „Enterprise“, „Business“ ir „Edu“ planų naudotojams. Kitą mėnesį naudojimas yra nemokamas, todėl komandos gali integruoti įrankį į savo CI/CD procesus be tiesioginių išlaidų.

Jei planuojate išbandyti įrankį, apsvarstykite šiuos veiksmus:

1. Pradėkite nuo senų projektų: Paleiskite agentą senose kodo bazėse, kur dokumentacija gali būti skurdi. Būtent čia įrankio gebėjimas suprasti kontekstą yra vertingiausias.
2. Peržiūrėkite siūlomus pataisymus: Nors „Codex Security“ siūlo pataisymus, ji nepakeičia žmogaus priežiūros. Visada peržiūrėkite siūlomus kodo pakeitimus bandomojoje aplinkoje.
3. Integruokite, o ne pakeiskite: Naudokite „Codex Security“ kartu su esamais „linting“ ir SAST įrankiais. Ji skirta „sudėtingoms“ problemoms aptikti, tačiau tradiciniai įrankiai vis dar greičiau randa paprastas sintaksės saugumo klaidas.
4. Stebėkite dėl haliucinacijų: Kaip ir bet kurio kito LLM pagrįsto įrankio atveju, egzistuoja ne nulinė rizika, kad DI „haliucinuos“ pataisymą, kuris įves kitą loginę klaidą. Vertinkite jo rezultatus kaip aukštos kokybės juodraštį, o ne galutinę komandą.

Autonominio saugumo ateitis

„Codex Security“ pasirodymas signalizuoja apie perėjimą prie autonominių saugumo operacijų. Programinei įrangai sudėtingėjant ir diegimo greičiui didėjant, žmonių saugumo komandos negali rankiniu būdu patikrinti kiekvienos kodo eilutės. Įrankiai, galintys veikti kaip „jėgos daugiklis“ – rasti, patikrinti ir ištaisyti trūkumus dideliu mastu – taps standartine kūrėjo įrankių rinkinio dalimi. Šiuo metu rasta 10 561 problema yra rimtas priminimas, kiek daug darbo dar reikia nuveikti užtikrinant pasaulio programinės įrangos saugumą.

Šaltiniai

• OpenAI Official Blog: Introducing Codex Security
• OpenAI Research: Scaling Vulnerability Detection with Agentic AI
• TechCrunch: OpenAI’s Aardvark Evolves into Codex Security
• Cybersecurity & Infrastructure Security Agency (CISA): Guidelines on AI-Assisted Development