Codex Security - เปิดตัว Research Preview

 (openai.com)
5 คะแนน โดย GN⁺ 2026-03-07 | ยังไม่มีความคิดเห็น | แชร์ทาง WhatsApp
  • เอเจนต์ความปลอดภัยของแอปพลิเคชันที่ขับเคลื่อนด้วย AI สำหรับ ตรวจจับ·ยืนยัน·แพตช์ช่องโหว่ที่ซับซ้อน โดยวิเคราะห์บริบทของโปรเจกต์
  • ออกแบบมาเพื่อลดปัญหา false positive จำนวนมากและคำเตือนที่ความน่าเชื่อถือต่ำ จากเครื่องมือความปลอดภัยแบบเดิม และช่วยให้โฟกัสกับช่องโหว่ที่มีความเสี่ยงจริงสูง
  • ในช่วงเบต้า ตรวจพบ ข้อบกพร่องด้านความปลอดภัยจริง เช่น SSRF และช่องโหว่การยืนยันตัวตนข้ามเทนเนนต์ และทำผลงาน ลดอัตรา false positive ได้มากกว่า 50%, ลดการรายงานระดับความรุนแรงเกินจริงได้มากกว่า 90%
  • ขณะนี้เปิดให้ลูกค้า ChatGPT Pro·Enterprise·Business·Edu ใช้งานแบบ research preview ฟรี 1 เดือน และรองรับ การทำ threat modeling·การยืนยัน·การเสนอแพตช์ตามแต่ละระบบ
  • ในระบบนิเวศโอเพนซอร์ส ก็ได้ค้นพบและรายงาน ช่องโหว่ CVE ของโปรเจกต์สำคัญ เช่น OpenSSH, GnuTLS, GOGS และมีแผนขยายการสนับสนุนผู้ดูแลผ่าน โปรแกรม Codex for OSS

ภาพรวมของ Codex Security

  • Codex Security ใช้ โมเดล frontier ของ OpenAI และเอเจนต์ Codex เพื่อทำการวิเคราะห์ความปลอดภัยบนพื้นฐานของบริบทโปรเจกต์
    • ไม่ใช่แค่ static analysis แบบง่าย ๆ แต่รองรับ การตรวจจับ·ยืนยัน·ทำแพตช์อัตโนมัติตามคอนเท็กซ์ของแต่ละระบบ
    • ช่วยให้ทีมความปลอดภัยโฟกัสกับช่องโหว่สำคัญและ เพิ่มความเร็วในการปล่อยโค้ดที่ปลอดภัย
  • มีเป้าหมายเพื่อลด คำเตือนความน่าเชื่อถือต่ำและภาระงานคัดแยกจำนวนมากเกินไป ที่เครื่องมือความปลอดภัย AI แบบเดิมก่อให้เกิด

การทดสอบเบต้าและการปรับปรุงประสิทธิภาพ

  • ในเบต้าช่วงแรก (ชื่อเดิม Aardvark) ตรวจพบ ข้อบกพร่องด้านความปลอดภัยจริง เช่น SSRF และช่องโหว่การยืนยันตัวตนข้ามเทนเนนต์
  • จากผลการสแกนซ้ำ พบว่า noise ลดลง 84%, การรายงานระดับความรุนแรงเกินจริงลดลงมากกว่า 90%, อัตรา false positive ลดลงมากกว่า 50%
  • ภายใน 30 วัน สแกนคอมมิต 1.2 ล้านรายการ และตรวจพบ ช่องโหว่ระดับ critical 792 รายการ, ช่องโหว่ระดับ high severity 10,561 รายการ
    • ช่องโหว่ระดับ critical มีน้อยกว่า 0.1% ของคอมมิตทั้งหมด ซึ่งพิสูจน์ให้เห็นถึง ความเป็นไปได้ในการตรวจจับอย่างมีประสิทธิภาพแม้ในโค้ดขนาดใหญ่

ฟีเจอร์หลัก

  • การสร้าง system context และ threat model
    • วิเคราะห์โครงสร้างรีโพซิทอรีเพื่อสร้าง threat model ของแต่ละโปรเจกต์ โดยอัตโนมัติ
    • โมเดลสามารถแก้ไขได้ และปรับให้เข้ากับมาตรฐานความปลอดภัยของทีมได้
  • การจัดลำดับความสำคัญของประเด็นและการยืนยัน
    • ใช้ threat model เป็นฐานในการ จัดประเภทช่องโหว่โดยเน้นผลกระทบจริง
    • ยืนยันในสภาพแวดล้อม sandbox เพื่อ แยกสัญญาณออกจาก noise และรองรับ การสร้าง PoC ที่นำไปใช้งานได้จริง
  • การเสนอแพตช์ตามบริบทของระบบ
    • เสนอแนวทางแก้ไขที่ปลอดภัยโดยคำนึงถึงเจตนาของโค้ดและพฤติกรรมโดยรอบ เพื่อลดความเสี่ยงจาก regression ให้ต่ำที่สุด
    • สามารถจัดการลำดับความสำคัญของแต่ละทีมได้ด้วย การกรองตามระดับความสำคัญ
  • ความสามารถในการเรียนรู้จาก feedback
    • เมื่อผู้ใช้ปรับระดับความรุนแรง ระบบจะสะท้อนข้อมูลนั้นกลับไปเพื่อ เพิ่มความแม่นยำของ threat model

การสนับสนุนระบบนิเวศโอเพนซอร์ส

  • OpenAI ใช้ Codex Security สแกน รีโพซิทอรีโอเพนซอร์สที่องค์กรใช้งานเป็น dependency และแชร์ ข้อมูลช่องโหว่สำคัญที่พบให้กับผู้ดูแลโปรเจกต์
  • ผู้ดูแลโปรเจกต์ชี้ให้เห็นปัญหา รายงานคุณภาพต่ำที่มีมากเกินไป จึงทำให้ Codex Security ถูกออกแบบมาเป็น ระบบรายงานที่เน้นช่องโหว่ความน่าเชื่อถือสูง
  • ผ่าน โปรแกรม Codex for OSS จะมีการมอบ บัญชี ChatGPT Pro/Plus ฟรี, การรีวิวโค้ด, การสนับสนุนการวิเคราะห์ความปลอดภัย ให้ผู้ดูแลโอเพนซอร์ส
    • โปรเจกต์ที่เข้าร่วมระยะแรกมี vLLM รวมอยู่ด้วย
    • มีแผนขยายไปยังผู้ดูแลเพิ่มเติมในอนาคต

ช่องโหว่โอเพนซอร์สสำคัญที่ค้นพบ (CVE บางส่วน)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — ฟังก์ชันที่เกี่ยวข้องกับ LdapUserMap (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) และอีกหลายรายการ

การเปิดให้ใช้งานและการเข้าถึง

  • เปิดให้ลูกค้า ChatGPT Pro, Enterprise, Business, Edu ใช้งาน Codex บนเว็บในรูปแบบ research preview ฟรี 1 เดือน
  • ในอนาคตจะสามารถดูการตั้งค่าสำหรับแต่ละทีมและวิธีใช้งานได้จาก หน้าเอกสาร Codex Security
  • NETGEAR เข้าร่วมในโครงการ early access และประเมินว่า Codex Security ช่วยเพิ่มทั้งความเร็วและความลึกของการตรวจสอบความปลอดภัย

บทสรุป

  • Codex Security คือแนวทางใหม่ที่ผสาน ระบบอัตโนมัติด้านความปลอดภัยด้วย AI และการยืนยันช่องโหว่ที่มีความน่าเชื่อถือสูง
  • มีเป้าหมายเพื่อ เพิ่มประสิทธิภาพของทีมความปลอดภัย, เสริมความแข็งแกร่งให้ระบบนิเวศโอเพนซอร์ส, และ ตรวจจับความเสี่ยงที่มีนัยสำคัญจริงใน codebase ขนาดใหญ่

บทความที่เกี่ยวข้อง

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น