OpenAI Codex Security pārbaudīja 1,2 miljonus koda iesūtņu: atklātas 10 561 augstas prioritātes drošības problēmas

Programmatūras drošības vide mainās no reaktīvas ielāpu uzlikšanas uz proaktīvu, mākslīgā intelekta vadītu identifikāciju. OpenAI ir oficiāli ienācis šajā arēnā, ieviešot Codex Security — sarežģītu, ar MI darbinātu drošības aģentu. Sākotnējās liela mēroga izvietošanas laikā rīks noskenēja 1,2 miljonus koda iesūtņu (commits) un identificēja 10 561 augstas prioritātes ievainojamību — problēmas, kuras tradicionālie automatizētie rīki bieži vien nepamanītu.

Šis izlaidums iezīmē nozīmīgu pagrieziena punktu DevSecOps attīstībā. Dodoties tālāk par vienkāršu paraugu meklēšanu, OpenAI mērķis ir sniegt izstrādātājiem rīku, kas saprot ne tikai to, "kur" atrodas ievainojamība, bet arī "kāpēc" tā ir radusies.

No Aardvark līdz Codex Security

Codex Security ir tiešais pēctecis Aardvark — iekšējam projektam, kuru OpenAI sāka testēt privātā beta versijā 2025. gada beigās. Kamēr Aardvark galvenokārt tika izmantots, lai palīdzētu OpenAI pašu izstrādātājiem nodrošināt savu infrastruktūru, Codex Security ir pilnveidots par patērētājiem gatavu aģentorientētu rīku.

Atšķirībā no tradicionālajiem statiskās analīzes drošības testēšanas (SAST) rīkiem, kas atzīmē potenciālās problēmas, pamatojoties uz stingriem noteikumiem, Codex Security darbojas kā "aģents". Tas nozīmē, ka tas ne tikai skenē kodu; tas pārvietojas pa kodu bāzi, saprot atkarības un pārbauda, vai potenciālais trūkums tiešām ir izmantojams specifiskajā lietojumprogrammas kontekstā. Šī evolūcija no pasīva skenera par aktīvu validatoru ir tas, kas, pēc OpenAI apgalvojumiem, samazina "troksni" jeb viltus pozitīvos rezultātus, kuri bieži apgrūtina drošības komandu darbu.

Dziļā konteksta jauda

Viens no galvenajiem izaicinājumiem automatizētajā drošībā ir konteksts. Koda fragments izolācijā var izskatīties bīstams, taču būt pilnīgi drošs ārējās sanitizācijas vai arhitektūras ierobežojumu dēļ. Un otrādi — šķietami nekaitīgs kods var būt katastrofāls, ja tas tiek kombinēts ar specifiskām bibliotēku versijām vai vides mainīgajiem.

OpenAI raksturo šo spēju kā "dziļo kontekstu". Lai to saprastu, iedomājieties ēkas inspektoru. Tradicionāls rīks ir kā sensors, kas pīkst, ja ierauga nodilušu vadu. Codex Security ir kā pieredzējis elektriķis, kurš ierauga nodilušo vadu, izseko to līdz sadales skapim, saprot, ka tas ir daļa no rezerves sistēmas, kurai pašlaik nav pieslēgta strāva, un izlemj, vai tas rada reālu ugunsgrēka risku vai vienkārši prasa nelielu pielāgošanu.

Veidojot šo visaptverošo projekta karti, aģents var uzrādīt atradumus ar augstāku pārliecības līmeni. Tas ļauj izstrādātājiem koncentrēt savu ierobežoto laiku uz tām 10 561 augstas prioritātes problēmām, kurām tiešām ir nozīme, nevis šķirot tūkstošiem zemas ietekmes brīdinājumu.

Pieeju salīdzinājums: MI pret tradicionālo SAST

Lai saprastu, kur Codex Security iekļaujas mūsdienu izstrādes darbplūsmā, ir noderīgi salīdzināt tā iespējas ar tradicionālajiem drošības rīkiem.

10 561 atraduma analīze

Lai gan OpenAI nav publicējis pilnu sarakstu ar konkrētajām ievainojamībām, kas tika atrastas 1,2 miljonu iesūtņu skenēšanas laikā, apzīmējums "augsta prioritāte" parasti attiecas uz trūkumiem, kas var izraisīt neautorizētu piekļuvi datiem, attālinātu koda izpildi (RCE) vai pilnīgu sistēmas kompromitēšanu.

Daudzos gadījumos šīs ievainojamības netika atrastas jaunā kodā, bet gan mantotajās (legacy) repozitoriju sadaļās, kur pirms gadiem pieņemtie drošības pieņēmumi vairs nav spēkā. Codex Security aģentorientētā daba ļauj tam "pārlasīt" veco kodu caur mūsdienu draudu vektoru prizmu, identificējot loģiskas kļūdas, kas gadiem ilgi bijušas redzamas visiem acu priekšā.

Praktiski ieteikumi izstrādātājiem

Codex Security pašlaik ir pieejams pētniecības priekšskatījumā ChatGPT Pro, Enterprise, Business un Edu līmeņu lietotājiem. Nākamo mēnesi lietošana ir bez maksas, sniedzot komandām iespēju integrēt to savos CI/CD procesos bez tūlītējām izmaksām.

Ja plānojat testēt šo rīku, apsveriet šādus soļus:

1. Sāciet ar mantotajiem projektiem: Palaidiet aģentu vecākās kodu bāzēs, kur dokumentācija var būt nepilnīga. Šeit rīka spēja secināt kontekstu ir visvērtīgākā.
2. Pārskatiet piedāvātos labojumus: Lai gan Codex Security piedāvā labojumus, tas neaizstāj cilvēka uzraudzību. Vienmēr pārskatiet ieteiktās koda izmaiņas testa vidē.
3. Integrējiet, nevis aizstājiet: Izmantojiet Codex Security kopā ar esošajiem "linting" un SAST rīkiem. Tas ir izstrādāts, lai notvertu "sarežģītās" problēmas, taču tradicionālie rīki joprojām ir ātrāki vienkāršu, uz sintaksi balstītu drošības kļūdu atrašanai.
4. Uzmanieties no halucinācijām: Tāpat kā ar jebkuru uz LLM balstītu rīku, pastāv risks, ka MI var "halucinēt" labojumu, kas ievieš citu loģikas kļūdu. Uztveriet tā rezultātu kā augstas kvalitātes uzmetumu, nevis galīgu komandu.

Autonomās drošības nākotne

Codex Security palaišana signalizē par pāreju uz autonomām drošības operācijām. Tā kā programmatūra kļūst sarežģītāka un izvietošanas ātrums pieaug, cilvēku drošības komandas nevar manuāli auditēt katru koda rindiņu. Rīki, kas var darboties kā "spēka pavairotāji" — atrodot, pārbaudot un novēršot trūkumus lielā mērogā — kļūs par standarta daļu no izstrādātāju rīku komplekta. Pagaidām atrastās 10 561 problēmas kalpo kā nopietns atgādinājums par to, cik daudz darba vēl ir darāms pasaules programmatūras drošības jomā.

Avoti

• OpenAI Official Blog: Introducing Codex Security
• OpenAI Research: Scaling Vulnerability Detection with Agentic AI
• TechCrunch: OpenAI’s Aardvark Evolves into Codex Security
• Cybersecurity & Infrastructure Security Agency (CISA): Guidelines on AI-Assisted Development