- OpenAI представила ИИ-агента Codex Security для поиска уязвимостей в программном коде.
- За время закрытой беты агент проанализировал более 1,2 млн коммитов и обнаружил свыше 792 критических и 10 500 высокоприоритетных уязвимостей.
- Найденные баги затрагивают проекты OpenSSH, GnuTLS, Chromium, GOGS и другие, при этом агент генерирует не только отчёты, но и готовые патчи.
Компания OpenAI анонсировала запуск Codex Security — инновационного искусственного интеллекта, предназначенного для выявления уязвимостей в исходном коде программного обеспечения. В закрытой бета-версии, проходившей с прошлого года под кодовым названием Aardvark, агент изучил более 1,2 миллиона коммитов и выявил значительное количество уязвимостей, включая 792 критических и свыше 10 500 высокоприоритетных проблем. Часть из них была официально закреплена идентификаторами CVE и касается таких широко используемых проектов, как OpenSSH, GnuTLS, Chromium, GOGS и libssh.
Отличительной особенностью Codex Security является его методика работы: агент сначала строит модель угроз конкретного проекта, изучая функциональность системы и её архитектуру, после чего производит поиск уязвимостей с учётом реального влияния на безопасность. Более того, после выявления проблем, в ряде случаев, агент проводит тесты в песочнице, подтверждая эксплуатацию уязвимостей и генерирует доказательства. Итогом работы становится не просто список обнаруженных багов, но и предложенные исправления, адаптированные под архитектуру программного проекта.
Важным направлением в развитии Codex Security стала оптимизация точности. OpenAI сумела сократить количество ложных срабатываний более чем в два раза и снизить число ошибочно переоценённых по критичности находок на 90%. В одном из проектов шум в процессе сканирования уменьшился более чем на 80%, что значительно повышает эффективность использования достаточно сложного инструмента. При этом серьёзные уязвимости выявлялись крайне редко — менее чем в 0,1% проверенных коммитов.
В числе обнаруженных значимых проблем — обход двухфакторной аутентификации в GOGS, переполнение буфера в GnuTLS и gpg-agent при работе с TPM2, а также уязвимости во внутренних системах OpenAI. Это свидетельствует о высокой степени охвата и точности анализа, который способен выявлять баги даже в продвинутых корпоративных решениях.
Codex Security уже доступен в исследовательском превью для клиентов ChatGPT Enterprise, Business и Edu, причём первый месяц использования для них бесплатен. Параллельно OpenAI запустила отдельную программу Codex for OSS, которая предоставляет бесплатный доступ к агенту мейнтейнерам проектов с открытым исходным кодом. Например, в числе первых подключившихся — команда разработки проекта vLLM.
Эксперты отрасли отмечают, что такой инструмент похож на того, как если бы с разработчиками работал опытный исследователь безопасности, существенно повышая качество кода и уменьшая риски, связанные с появлением уязвимостей. Запуск Codex Security демонстрирует дальнейшее расширение возможностей ИИ в области информационной безопасности и обещает повысить уровень защиты программных продуктов за счёт автоматизации и интеллектуального анализа.
