News · Το OpenAI κυκλοφορεί το Codex Security, έναν πράκτορα ασφάλειας εφαρμογών βασισμένο σε μοντέλο απειλών ανά έργο

Jul, 94 λεπτά ανάγνωσης
Frontend

Το OpenAI κυκλοφορεί το Codex Security, έναν πράκτορα ασφάλειας εφαρμογών βασισμένο σε μοντέλο απειλών ανά έργο

Το εργαλείο που παλαιότερα ονομαζόταν Aardvark μπαίνει σε φάση research preview, με ισχυρισμούς για ευρήματα υψηλότερης ακρίβειας και έμφαση στις ευπάθειες web που εμφανίζονται παράλληλα με τον ταχύτατο κώδικα frontend.

Τα σφάλματα στη λίστα είναι σφάλματα εφαρμογών web

Το OpenAI περιγράφει το Codex Security ως έναν πράκτορα ασφάλειας εφαρμογών που χτίζει «βαθύ πλαίσιο κατανόησης του έργου σας για να εντοπίσει σύνθετες ευπάθειες που άλλα agentic εργαλεία παραβλέπουν». Αυτό που ξεχωρίζει στις λεπτομέρειες είναι ο χαρακτήρας των ευπαθειών που αναφέρει. Σε πρώιμες εσωτερικές αναπτύξεις εντόπισε ένα πραγματικό SSRF και μια κρίσιμη ευπάθεια αυθεντικοποίησης μεταξύ tenants. Η λίστα CVE στο παράρτημα έχει ανάλογο περιεχόμενο: παράκαμψη 2FA και μη αυθεντικοποιημένη παράκαμψη στο GOGS, path traversal που επιτρέπει αυθαίρετη εγγραφή, LDAP injection, μια συνεδρία (session) που δεν ανανεωνόταν κατά την αλλαγή κωδικού, και απενεργοποιημένη επικύρωση TLS σε πελάτη Elasticsearch.

Πρόκειται για τυπικές αστοχίες λειτουργίας συστημάτων web, όχι για αφηρημένες λεπτομέρειες ασφάλειας μνήμης. Διαρροές αυθεντικοποίησης μεταξύ tenants, μη ανανεωμένες συνεδρίες και SSRF είναι ακριβώς οι ατέλειες που συσσωρεύονται όταν ο κώδικας εφαρμογών και διεπαφών γράφεται και κυκλοφορεί με ταχείς ρυθμούς. Το OpenAI τοποθετεί ευθέως το χρονικό πλαίσιο: «οι πράκτορες επιταχύνουν την ανάπτυξη λογισμικού, κάνοντας την επιθεώρηση ασφαλείας ένα ολοένα πιο κρίσιμο σημείο συμφόρησης». Το εργαλείο τοποθετείται απέναντι στο χρέος επιθεώρησης που δημιουργεί η ταχεία κυκλοφορία.

Ένα μοντέλο απειλών που οι ομάδες μπορούν να επεξεργαστούν, και έπειτα επικύρωση σε sandbox

Ο μηχανισμός που αξίζει προσεκτική ανάγνωση είναι το μοντέλο απειλών. Το Codex Security αναλύει ένα αποθετήριο και δημιουργεί ένα μοντέλο ειδικό για το έργο, το οποίο συλλαμβάνει, όπως αναφέρει το OpenAI, «τι κάνει το σύστημα, τι εμπιστεύεται και πού είναι πιο εκτεθειμένο». Το μοντέλο αυτό είναι επεξεργάσιμο, ώστε μια ομάδα να μπορεί να διορθώσει τις υποθέσεις του πράκτορα σχετικά με τα όρια εμπιστοσύνης, και τροφοδοτεί την κατάταξη των ευρημάτων με βάση τον αναμενόμενο πραγματικό αντίκτυπο.

Μετά τον εντοπισμό, ο πράκτορας δοκιμάζει τα ευρήματα υπό πίεση σε περιβάλλοντα επικύρωσης εντός sandbox και, όταν έχει διαμορφωθεί με περιβάλλον προσαρμοσμένο στο έργο, επικυρώνει τα ζητήματα «απευθείας στο πλαίσιο του συστήματος που εκτελείται», παράγοντας λειτουργικά proof-of-concept. Στη συνέχεια προτείνει διορθώσεις που στοχεύουν να ευθυγραμμιστούν με την πρόθεση του συστήματος και να «ελαχιστοποιήσουν τις οπισθοδρομήσεις». Ολόκληρη η ροή εργασιών έχει σχεδιαστεί για να απαντά στο ερώτημα που πραγματικά θέτει ένας μηχανικός διαλογής: είναι αυτό εκμεταλλεύσιμο εδώ, και τι επηρεάζει η διόρθωση;

Οι ισχυρισμοί ακρίβειας, και τι δεν λένε

Το κεντρικό επιχείρημα του OpenAI είναι η αναλογία σήματος προς θόρυβο. Αναφέρει μείωση του θορύβου κατά 84% σε ένα αποθετήριο από την αρχική κυκλοφορία, μείωση της υπερεκτιμημένης σοβαρότητας κατά περισσότερο από 90%, και μείωση των ψευδώς θετικών κατά περισσότερο από 50% σε όλα τα αποθετήρια. Σε επίπεδο κλίμακας, τους τελευταίους 30 ημέρες σάρωσε περισσότερα από 1,2 εκατομμύρια commits σε εξωτερικά αποθετήρια beta, επισημαίνοντας 792 κρίσιμα και 10.561 ευρήματα υψηλής σοβαρότητας, με τα κρίσιμα ζητήματα να εμφανίζονται σε λιγότερο από 0,1% των σαρωμένων commits.

Πρόκειται για βελτιώσεις που αναφέρονται από την ίδια την εταιρεία στο πλαίσιο μιας beta έκδοσης, και τα σημεία αναφοράς είναι εσωτερικά, οπότε τα ποσοστά περιγράφουν την πρόοδο σε σχέση με προηγούμενη απόδοση του ίδιου του OpenAI και όχι σύγκριση με κάποιο ανταγωνιστικό εργαλείο. Το ποσοστό 0,1% είναι το πιο συγκεκριμένο στοιχείο: δείχνει ότι το σύστημα συγκρατεί την πλημμύρα ειδοποιήσεων χαμηλής αξίας που, όπως είπαν στο OpenAI οι υπεύθυνοι συντήρησης, ήταν το πραγματικό πρόβλημα. Όπως το διατύπωσε ένας αξιολογητής της NETGEAR:

Τα ευρήματά του ήταν εντυπωσιακά σαφή και ολοκληρωμένα, δίνοντας συχνά την εντύπωση ότι δούλευε μαζί μας ένας έμπειρος ερευνητής ασφάλειας προϊόντων.Montana Labs

Τι αλλάζει αυτό για τις ομάδες που κυκλοφορούν κώδικα web με ταχείς ρυθμούς

Το Codex Security βρίσκεται σε φάση research preview μέσω του Codex web για πελάτες ChatGPT Pro, Enterprise, Business και Edu, με δωρεάν χρήση για έναν μήνα. Για ομάδες που παράγουν κώδικα web και διεπαφών, το πρακτικό ενδιαφέρον δεν είναι ότι ο πράκτορας εντοπίζει σφάλματα, αλλά ότι τα οργανώνει: ένα μοντέλο απειλών συνδεδεμένο με την αρχιτεκτονική σας, ευρήματα κατατεταγμένα με βάση τον αντίκτυπο στο δικό σας σύστημα, και διορθώσεις με σκόπιμα περιορισμένο εύρος για τη μείωση του κινδύνου οπισθοδρόμησης. Ο βρόχος ανάδρασης αποτελεί μέρος του σχεδιασμού — η προσαρμογή της κρισιμότητας ενός ευρήματος βελτιώνει το μοντέλο απειλών σε επόμενες εκτελέσεις.

Η οπτική του ανοιχτού κώδικα ενισχύει το ίδιο στοίχημα. Το OpenAI αναφέρθηκε σε ευπάθειες σε έργα όπως τα OpenSSH, GnuTLS, GOGS, libssh, PHP και Chromium, με δεκατέσσερα CVE να έχουν αποδοθεί, μετά από σχόλια των υπευθύνων συντήρησης ότι το πρόβλημα ήταν «πάρα πολλές αναφορές χαμηλής ποιότητας» και όχι λίγες. Η συνέπεια για μια ομάδα frontend ή full-stack που κινείται με ταχείς ρυθμούς είναι στενή αλλά πραγματική: η αξία ενός agentic σαρωτή κρίνεται στο στάδιο της διαλογής, και το Codex Security ποντάρει στο ότι ένα επεξεργάσιμο μοντέλο απειλών ανά έργο είναι αυτό που κάνει τα ευρήματά του να αξίζουν τον χρόνο ενός μηχανικού ασφαλείας, και όχι απλά μια ακόμη ουρά για εκκαθάριση.

Find this story relevant to you?

Contact us to find a unique solution

Contact us

Χρειάζεστε συνεργάτη AI engineering που μπορεί να παραδώσει;

Βοηθάμε ομάδες στην Ελλάδα να ενσωματώσουν AI, να δημιουργήσουν AI-powered προϊόντα, να αυτοματοποιήσουν κρίσιμες ροές εργασίας και να εκσυγχρονίσουν τα συστήματα που τα στηρίζουν.

Get in touch

Σχετικά άρθρα

Περισσότερη ανάλυση για την παράδοση προϊόντων, τη λειτουργική ΤΝ και τη δουλειά στα συστήματα που κάνει την ανάπτυξη να αντέχει στην πράξη.

Jul, 13Ανάγνωση 4 λεπτών
Frontend

Η DNP εγκατέστησε το ChatGPT Enterprise σε δέκα τμήματα και μεταχειρίστηκε το παράθυρο συνομιλίας ως το βασικό περιβάλλον εργασίας

Jul, 134 λεπτά ανάγνωσης
Frontend

Το AdventHealth αναπτύσσει το ChatGPT σε εννέα πολιτείες αντιμετωπίζοντας την υιοθέτηση ως το ίδιο το προϊόν

Jul, 134 λεπτά ανάγνωσης
Frontend

Το AP+ χρησιμοποιεί το Codex για να φτιάξει λειτουργικά πρωτότυπα πληρωμών, όχι απλές οθόνες με κλικ