Codex Security - prévia de pesquisa disponível

 (openai.com)
5 pontos por GN⁺ 2026-03-07 | Ainda não há comentários. | Compartilhar no WhatsApp
  • Agente de segurança de aplicações com IA que analisa o contexto do projeto para detectar, validar e corrigir vulnerabilidades complexas
  • Projetado para reduzir o problema de falsos positivos excessivos e alertas de baixa confiabilidade gerados por ferramentas de segurança existentes, permitindo foco nas vulnerabilidades com risco real mais alto
  • Na fase beta, detectou falhas de segurança reais, como SSRF e vulnerabilidades de autenticação entre tenants, registrando redução de mais de 50% na taxa de falsos positivos e redução de mais de 90% nos relatos inflados de severidade
  • Atualmente oferecido como prévia de pesquisa gratuita por 1 mês para clientes ChatGPT Pro, Enterprise, Business e Edu, com suporte a modelagem de ameaças por sistema, validação e sugestões de correção
  • No ecossistema open source, também descobriu e reportou vulnerabilidades CVE em projetos importantes como OpenSSH, GnuTLS e GOGS, com planos de ampliar o suporte a mantenedores por meio do programa Codex for OSS

Visão geral do Codex Security

  • O Codex Security realiza análise de segurança baseada no contexto do projeto usando os modelos de fronteira da OpenAI e o agente Codex
    • Em vez de análise estática simples, oferece automação de detecção, validação e correção com base no contexto de cada sistema
    • Permite que equipes de segurança se concentrem em vulnerabilidades importantes e aumentem a velocidade de entrega de código seguro
  • O objetivo é reduzir alertas de baixa confiabilidade e a carga excessiva de triagem causada por ferramentas de segurança com IA existentes

Testes beta e melhorias de desempenho

  • No beta inicial (anteriormente chamado Aardvark), detectou falhas de segurança reais, como SSRF e vulnerabilidades de autenticação entre tenants
  • Em resultados de varreduras repetidas, houve redução de 84% no ruído, redução de mais de 90% nos relatos inflados de severidade e redução de mais de 50% na taxa de falsos positivos
  • Em 30 dias, analisou 1,2 milhão de commits e detectou 792 vulnerabilidades críticas e 10.561 vulnerabilidades de alta severidade
    • As vulnerabilidades críticas representaram menos de 0,1% de todos os commits, demonstrando potencial de detecção eficiente mesmo em código em larga escala

Principais recursos

  • Construção de contexto do sistema e geração de modelo de ameaças
    • Analisa a estrutura do repositório para gerar automaticamente um modelo de ameaças por projeto
    • O modelo pode ser editado e ajustado de acordo com os padrões de segurança da equipe
  • Priorização e validação de issues
    • Com base no modelo de ameaças, faz classificação de vulnerabilidades centrada no impacto real
    • Valida em ambiente sandbox para separar sinal de ruído e dar suporte à geração de PoC executável
  • Sugestões de correção com base no contexto do sistema
    • Apresenta correções seguras considerando a intenção do código e o comportamento ao redor, minimizando risco de regressão
    • O filtro por criticidade permite gerenciar prioridades por equipe
  • Recurso de aprendizado por feedback
    • Quando o usuário ajusta a severidade, isso é refletido para aumentar a precisão do modelo de ameaças

Suporte ao ecossistema open source

  • A OpenAI usa o Codex Security para analisar repositórios open source dos quais depende, compartilhando com os mantenedores as informações sobre vulnerabilidades críticas descobertas
  • Mantenedores apontaram o problema do excesso de relatórios de baixa qualidade, e por isso o Codex Security foi projetado com um sistema de reporte focado em vulnerabilidades de alta confiabilidade
  • Por meio do programa Codex for OSS, oferece a mantenedores open source contas gratuitas do ChatGPT Pro/Plus, revisão de código e suporte a análise de segurança
    • vLLM está incluído entre os projetos participantes iniciais
    • Há planos de expandir futuramente para mais mantenedores

Principais vulnerabilidades open source descobertas (alguns CVEs)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — funções relacionadas a LdapUserMap (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) entre muitas outras

Disponibilização e acesso

  • Oferecido como prévia de pesquisa gratuita por 1 mês para clientes ChatGPT Pro, Enterprise, Business e Edu via web do Codex
  • No futuro, será possível consultar a página de documentação do Codex Security para ver configurações por equipe e modo de uso
  • A NETGEAR participou do programa de acesso inicial e avaliou que o Codex Security contribuiu para aumentar a velocidade e a profundidade das revisões de segurança

Conclusão

  • O Codex Security é uma nova abordagem que combina automação de segurança baseada em IA e validação de vulnerabilidades de alta confiabilidade
  • Seu objetivo é aumentar a eficiência das equipes de segurança, fortalecer o ecossistema open source e detectar riscos reais em codebases de grande escala

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.