- प्रोजेक्ट कॉन्टेक्स्ट का विश्लेषण करके जटिल कमजोरियों का पता लगाने·सत्यापित करने·पैच करने वाला AI-आधारित application security एजेंट
- मौजूदा security tools द्वारा पैदा की जाने वाली अत्यधिक false positives और low-confidence alerts की समस्या को कम करने और वास्तविक रूप से अधिक जोखिम वाली कमजोरियों पर ध्यान केंद्रित करने के लिए डिज़ाइन किया गया
- beta चरण में SSRF·cross-tenant authentication कमजोरियों जैसी वास्तविक security flaws का पता लगाया गया, और false positive rate में 50% से अधिक कमी, severity over-reporting में 90% से अधिक कमी का परिणाम दर्ज किया गया
- फिलहाल ChatGPT Pro·Enterprise·Business·Edu ग्राहकों के लिए 1 महीने के मुफ्त research preview के रूप में उपलब्ध, और system-specific threat modeling·validation·patch suggestion features का समर्थन करता है
- open source ecosystem में भी OpenSSH, GnuTLS, GOGS जैसे प्रमुख projects की CVE vulnerabilities खोजकर रिपोर्ट की गईं, और Codex for OSS program के जरिए maintainers के लिए समर्थन का विस्तार करने की योजना है
Codex Security का अवलोकन
- Codex Security OpenAI के frontier models और Codex agent का उपयोग करके project context-आधारित security analysis करता है
- साधारण static analysis नहीं, बल्कि system-specific context-आधारित detection·validation·patch automation का समर्थन
- security teams महत्वपूर्ण कमजोरियों पर ध्यान केंद्रित कर सकती हैं और secure code deployment की गति बढ़ा सकती हैं
- इसका लक्ष्य मौजूदा AI security tools से पैदा हुई low-confidence alerts और अत्यधिक triage workload को कम करना है
beta टेस्ट और प्रदर्शन सुधार
- शुरुआती beta (पूर्व नाम Aardvark) में SSRF, cross-tenant authentication कमजोरियों जैसी वास्तविक security flaws का पता लगाया गया
- बार-बार किए गए scans के परिणामस्वरूप noise में 84% कमी, severity over-reporting में 90% से अधिक कमी, false positive rate में 50% से अधिक कमी
- 30 दिनों में 12 लाख commits स्कैन करके 792 critical vulnerabilities और 10,561 high-severity vulnerabilities का पता लगाया गया
- critical vulnerabilities कुल commits के 0.1% से कम थीं, जिससे बड़े पैमाने के code में भी प्रभावी detection की संभावना साबित हुई
मुख्य विशेषताएँ
- system context बनाना और threat model तैयार करना
- repository structure का विश्लेषण करके project-specific threat model अपने-आप तैयार करता है
- model editable है, और टीम की security standards के अनुसार समायोजित किया जा सकता है
- issues की priority तय करना और validation
- threat model के आधार पर वास्तविक impact-केंद्रित vulnerability classification करता है
- sandbox environment में सत्यापन करके signal और noise को अलग करता है, और actionable PoC generation का समर्थन करता है
- system context-आधारित patch suggestions
- code intent और आसपास के behavior को ध्यान में रखकर सुरक्षित fixes सुझाता है, जिससे regression risk कम होता है
- severity filtering के जरिए टीम-स्तर की priority management संभव
- feedback learning feature
- उपयोगकर्ता severity समायोजित करें तो उसे प्रतिबिंबित करके threat model precision को बेहतर बनाता है
open source ecosystem के लिए समर्थन
- OpenAI, Codex Security के जरिए अपनी dependencies वाले open source repositories स्कैन करता है और खोजी गई महत्वपूर्ण vulnerabilities की जानकारी maintainers के साथ साझा करता है
- maintainers ने कम-गुणवत्ता वाली reports की अधिकता की समस्या बताई थी, और उसी के अनुसार Codex Security को high-confidence vulnerability-केंद्रित reporting system के रूप में डिज़ाइन किया गया
- Codex for OSS program के जरिए open source maintainers को मुफ्त ChatGPT Pro/Plus accounts, code review, security analysis support दिया जाता है
- शुरुआती भाग लेने वाले projects में vLLM शामिल है
- आगे चलकर इसे अधिक maintainers तक विस्तारित किया जाएगा
खोजी गई प्रमुख open source कमजोरियाँ (कुछ CVE)
- GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
- GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
- GOGS 2FA Bypass (CVE-2025-64175)
- GOGS Unauth Bypass (CVE-2026-25242)
- Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
- LDAP Injection — LdapUserMap से संबंधित function (CVE-2025-35431)
- Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
- Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) आदि कई शामिल
वितरण और access
- ChatGPT Pro, Enterprise, Business, Edu customers को Codex web के माध्यम से 1 महीने का मुफ्त research preview दिया जा रहा है
- आगे Codex Security documentation page पर टीम-स्तर की settings और उपयोग का तरीका देखा जा सकेगा
- NETGEAR शुरुआती access program में भाग लेने वाली कंपनियों में से एक है, और उसका मूल्यांकन है कि Codex Security ने security review की गति और गहराई बढ़ाने में योगदान दिया
निष्कर्ष
- Codex Security AI-आधारित security automation और high-confidence vulnerability validation को जोड़ने वाला एक नया दृष्टिकोण है
- इसका लक्ष्य security teams की efficiency बढ़ाना, open source ecosystem को मजबूत करना, और बड़े codebases में वास्तविक जोखिमों का पता लगाना है
अभी कोई टिप्पणी नहीं है.