News · OpenAI lança o Codex Security, um agente de segurança de aplicações construído sobre um modelo de ameaças específico para cada projeto

Jul, 94 min de leitura
Frontend

OpenAI lança o Codex Security, um agente de segurança de aplicações construído sobre um modelo de ameaças específico para cada projeto

A ferramenta anteriormente designada Aardvark entra em pré-visualização de investigação, com a promessa de resultados mais precisos e um foco nas vulnerabilidades expostas na web que acompanham o desenvolvimento acelerado de frontend.

As falhas na lista são falhas de aplicações web

A OpenAI descreve o Codex Security como um agente de segurança de aplicações que constrói "conhecimento profundo sobre o projeto para identificar vulnerabilidades complexas que outras ferramentas agênticas não detetam". O que se destaca nos detalhes é a natureza das vulnerabilidades identificadas. Em implementações internas iniciais, detetou um SSRF real e uma vulnerabilidade crítica de autenticação entre inquilinos (cross-tenant). A lista de CVEs no anexo segue o mesmo padrão: um bypass de autenticação de dois fatores e um bypass sem autenticação no GOGS, path traversal que permite escrita arbitrária, injeção LDAP, uma sessão que não era renovada após alteração de palavra-passe, e verificação TLS desativada num cliente Elasticsearch.

Estes são os modos de falha típicos de sistemas web em produção, não questões abstratas de segurança de memória. Fugas de autenticação entre inquilinos, sessões não renovadas e SSRF são exatamente o tipo de defeitos que se acumulam quando o código de aplicação e de interface é escrito e lançado rapidamente. A OpenAI enquadra a questão de forma direta: "os agentes estão a acelerar o desenvolvimento de software, tornando a revisão de segurança um estrangulamento cada vez mais crítico". A ferramenta posiciona-se precisamente contra essa dívida de revisão criada pelo ritmo acelerado de lançamento.

Um modelo de ameaças que as equipas podem editar, seguido de validação em ambiente isolado

O mecanismo que merece atenção é o modelo de ameaças. O Codex Security analisa um repositório e gera um modelo específico do projeto que capta, nas palavras da OpenAI, "o que o sistema faz, em que confia e onde está mais exposto". Esse modelo é editável, permitindo que uma equipa corrija os pressupostos do agente sobre as fronteiras de confiança, e alimenta a classificação dos resultados pelo impacto real esperado.

Após a deteção, o agente testa os resultados em ambientes de validação isolados e, quando configurado com um ambiente ajustado ao projeto, valida os problemas "diretamente no contexto do sistema em execução", produzindo provas de conceito funcionais. Em seguida, propõe correções pensadas para respeitar a intenção do sistema e "minimizar regressões". Todo o processo foi concebido para responder à pergunta que um engenheiro de triagem realmente faz: isto é explorável aqui, e o que é que a correção afeta?

As afirmações de precisão, e o que não dizem

A proposta central da OpenAI é a relação sinal-ruído. A empresa refere uma redução de 84% no ruído num repositório desde o lançamento inicial, uma diminuição de mais de 90% na sobrevalorização da gravidade, e uma redução de mais de 50% na taxa de falsos positivos em todos os repositórios. Em termos de escala, nos últimos 30 dias analisou mais de 1,2 milhões de commits em repositórios externos de beta, assinalando 792 resultados críticos e 10 561 de gravidade elevada, com problemas críticos a surgir em menos de 0,1% dos commits analisados.

Estas são melhorias autorreportadas de uma versão beta, com valores de referência internos, pelo que as percentagens refletem o progresso face aos resultados anteriores da própria OpenAI e não uma comparação com qualquer ferramenta concorrente. O valor de 0,1% é o indicador mais concreto: mostra o sistema a conter a avalanche de alertas de baixo valor que, segundo os responsáveis pela manutenção, era o verdadeiro problema. Como resumiu um revisor da NETGEAR:

Os seus resultados foram impressionantemente claros e completos, dando muitas vezes a sensação de estarmos a trabalhar ao lado de um investigador experiente em segurança de produtos.Montana Labs

O que isto muda para as equipas que lançam código web a ritmo acelerado

O Codex Security está em pré-visualização de investigação através do Codex web para clientes ChatGPT Pro, Enterprise, Business e Edu, com utilização gratuita durante um mês. Para equipas cuja produção é código web e de interface, o atrativo prático não é o facto de o agente encontrar falhas, mas sim a forma como as organiza: um modelo de ameaças ligado à arquitetura da equipa, resultados classificados pelo impacto no sistema em causa, e correções delimitadas para reduzir o risco de regressão. O ciclo de retroação faz parte do design — ajustar a criticidade de um resultado refina o modelo de ameaças nas execuções seguintes.

A vertente open-source reforça a mesma aposta. A OpenAI reportou vulnerabilidades a projetos como OpenSSH, GnuTLS, GOGS, libssh, PHP e Chromium, com catorze CVEs atribuídos, depois de os responsáveis pela manutenção terem indicado que o problema era "demasiados relatórios de baixa qualidade", e não a falta deles. A implicação para uma equipa de frontend ou full-stack de ritmo acelerado é restrita mas real: o valor de um scanner agêntico decide-se na triagem, e o Codex Security aposta em que um modelo de ameaças editável e específico por projeto é o que torna os seus resultados dignos do tempo de um engenheiro de segurança, e não apenas mais uma fila para despachar.

Find this story relevant to you?

Contact us to find a unique solution

Contact us

Precisa de um parceiro de engenharia de IA que saiba executar?

Ajudamos equipas em Portugal a integrar IA em produtos, automatizar processos de alto valor e modernizar os sistemas que suportam o negocio.

Get in touch

Leitura relacionada

Mais análises sobre entrega de produto, AI operacional e o trabalho de sistemas que faz com que a implementação funcione na prática.

Jul, 134 min de leitura
Frontend

A DNP colocou o ChatGPT Enterprise diante de dez departamentos e tratou a janela de chat como interface

Jul, 134 min de leitura
Frontend

A AdventHealth implementa o ChatGPT em nove estados ao tratar a adoção como o produto

Jul, 13Leitura de 4 min
Frontend

A AP+ utiliza a Codex para criar prototípagens de pagamento funcionais, e não apenas ecrãs clicáveis