OpenAI 正式发布 Codex Security,这是一款应用安全 Agent,专为自动识别、验证和修复企业及开源代码库中的复杂漏洞而设计。该工具前身为 Aardvark,利用前沿 AI 模型提供上下文感知的安全评估,旨在取代传统静态分析工具——后者往往会产生大量低价值告警和误报,给安全团队带来干扰。
Codex Security 的核心优势
与传统应用安全测试工具不同,Codex Security 通过构建项目专属的可编辑威胁模型来启动分析,该系统会映射信任边界和暴露点。基于这种上下文理解,Agent 能够根据实际影响而非通用启发式规则来优先处理漏洞。
为最大限度减少干扰,Codex Security 通过在沙箱环境中执行 PoC 漏洞利用来主动验证其发现。确认漏洞后,Agent 会生成上下文感知的补丁,旨在最小化回归风险并与现有系统架构保持兼容。
测试阶段成效显著
在私有测试阶段,该系统展现出显著的信号噪声比改善。OpenAI 报告显示,在监控的代码库中实现了:告警噪声降低 84%、过度报告严重性减少 90%、误报率下降超 50%。
在测试最后 30 天,Agent 扫描了超过 120 万次外部代码库提交,成功识别出 792 个关键漏洞和 10,561 个高危问题,其中关键漏洞在所有扫描提交中的占比不到 0.1%。
重点护航开源安全
Codex Security 的核心应用场景包括关键开源软件(OSS)审计。OpenAI 已使用该工具审计 OpenSSH、GnuTLS、PHP 和 Chromium 等广泛使用的项目,重点关注可行动情报而非推测性报告。这些扫描发现了多个高危 0Day 漏洞,并促成 14 个官方 CVE 编号的分配。
为持续强化 OSS 生态,OpenAI 同步推出"Codex for OSS"计划,为符合条件的开源维护者免费提供 ChatGPT Pro 账户、代码审查基础设施和 Codex Security 服务。
关键漏洞发现清单
下表详细列出了 Codex Security 在主流开源项目中发现并验证的部分关键漏洞:
| CVE 编号 | CVSS 评分 | 受影响组件 | 漏洞类型及上下文 |
|---|---|---|---|
| CVE-2025-32990 | 8.2(高危) | GnuTLS certtool | 模板解析时的堆缓冲区溢出(差一错误) |
| CVE-2025-64175 | 不适用 | GOGS | 双因素认证(2FA)安全绕过 |
| CVE-2026-25242 | 不适用 | GOGS | 未授权访问控制绕过 |
| CVE-2025-35430 | 不适用 | Agent Framework | 路径遍历导致任意写入能力 |
| CVE-2025-35431 | 不适用 | LdapUserMap | 影响过滤器和专有名称的 LDAP 注入 |
| CVE-2025-35432 | 不适用 | Verification Systems | 未授权拒绝服务(DoS)及邮件滥用 |
| CVE-2026-24881 | 不适用 | gpg-agent(ECC KEM) | 通过 PKDECRYPT 触发的栈缓冲区溢出 |
| CVE-2025-11187 | 不适用 | PKCS#12 PBMAC1 | PBKDF2 密钥长度溢出及 MAC 验证绕过 |
安全与开发团队应查阅 OpenAI 官方开发者文档以配置代码库集成并建立基线威胁模型。开源维护者可通过 OpenAI 平台申请加入"Codex for OSS"计划。使用上表所列漏洞组件的组织应立即关注供应商公告并部署维护者提供的已验证补丁。
参考来源:
OpenAI Launches Codex Security that Discover, Validate and Patch Vulnerabilities
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)
