OpenAI анонсировала запуск Codex Security, ИИ-агента, предназначенного для выявления уязвимостей в программном коде. В ходе закрытой беты, проходившей с прошлого года под названием Aardvark, агент проанализировал более 1,2 миллиона коммитов, выявив 792 критических и свыше 10 500 высокоприоритетных проблем. Четырнадцать уязвимостей были зарегистрированы с официальными CVE; среди затронутых проектов — OpenSSH, GnuTLS, Chromium, GOGS и libssh.
Codex Security отличается от обычных сканеров тем, что сначала создает модель угроз для конкретного репозитория, а затем ищет проблемы, ранжируя их по реальному воздействию. В результате пользователи получают не только отчеты, но и готовые патчи, учитывающие архитектуру проекта.
За время бета-тестирования OpenAI удалось сократить количество ложных срабатываний более чем на 50%, а находок с завышенной критичностью — на 90%. Среди уязвимостей отмечены обход двухфакторной аутентификации в GOGS и переполнение буфера в GnuTLS.
Codex Security доступен для клиентов ChatGPT Enterprise, Business и Edu в исследовательском режиме бесплатно в течение первого месяца. Также запускается программа Codex for OSS, предоставляющая бесплатный доступ мейнтейнерам открытых проектов. Чандан Нандакумарайя, глава продуктовой безопасности NETGEAR, отметил, что работа агента напоминает сотрудничество с опытным исследователем безопасности.
