OpenAI称Codex Security一个月内发现1.1万个高危漏洞

📅 发布时间:2026/7/16 15:20:37 👁️ 浏览次数:
OpenAI称Codex Security一个月内发现1.1万个高危漏洞
OpenAI新推出的应用安全Agent——Codex Security在研究测试的前30天内已在真实代码库中标记出超过11,000个高危和严重漏洞。这款旨在自动发现、验证并修复软件仓库漏洞的工具据称在扫描的100多万次提交中识别出约800个严重问题。OpenAI在博客中表示该工具更像是一位研究代码库、绘制潜在攻击路径并提出修复方案的安全研究员而非静态扫描器。它设计用于大规模运行并以易于接受的补丁形式呈现高置信度的发现结果该公司写道。OpenAI称该工具能建立对整个项目的上下文理解从而专注于实际可被利用的漏洞解决了应用安全团队长期面临的警报疲劳问题。专有与开源项目中的漏洞发现在首个测试周期中Codex Security扫描了外部仓库超过120万次提交识别出792个严重漏洞和10,561个高危问题。OpenAI表示这些发现来自广泛的真实代码库同时保持了相对较低的误报率——严重问题出现在不到0.1%的扫描提交中。网件(Netgear)产品安全主管Chandan Nandakumaraiah在评论中表示网件很高兴参与早期访问计划结果超出预期。Codex Security无缝集成到我们强大的安全开发生态系统中增强了审查流程的速度和深度。除专有仓库外该工具还在多个广泛使用的开源项目中标记出漏洞包括OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP和Chromium目前已分配14个CVE编号。OpenAI表示这些努力是更广泛的Codex for OSS计划的一部分该计划为维护者提供免费访问Codex工具和安全审查支持。公司计划在未来几周扩展该计划吸引更多开源维护者加入生态系统。OpenAI重点介绍了Codex Security发现的13个高影响开源漏洞涉及路径遍历、拒绝服务(DoS)和认证绕过等问题。从Aardvark实验到AI安全研究员Codex Security源自OpenAI早期内部项目Aardvark这是一个AI驱动的漏洞研究Agent曾与选定用户进行测试。Aardvark的设计理念是让AI Agent阅读代码、测试可能的利用路径并推理攻击者可能如何入侵系统。这种Agent工作流程使Codex Security系统能够模拟人类安全研究员的运作方式。AI分析仓库历史建立识别入口点和信任边界的威胁模型然后探索可能导致敏感结果的攻击路径。发现潜在漏洞后系统会在沙箱环境中尝试复现问题确认其可被利用后才进行报告。验证后它会生成修复指南通常以开发者可审查并合并到工作流程中的补丁形式呈现。Codex Security还能从反馈中持续学习以提高发现质量。当你调整发现的严重性时它能利用这些反馈优化威胁模型并在后续运行中提高精确度因为它会了解你的架构和风险态势中哪些因素更重要OpenAI补充道。自3月9日起Codex Security以研究预览版形式向ChatGPT Pro、Enterprise、Business和Edu客户开放通过Codex网页提供30天免费使用。