OpenAI Codex Security上线一个月发现1.1万个高危漏洞
OpenAI指出,这款工具能够全面理解项目的上下文背景,从而精准定位实际可利用的安全漏洞,有效解决了应用安全团队长期面临的警报疲劳问题。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
OpenAI最新推出的应用安全代理——Codex Security在测试研究的前30天内,已在真实代码库中标记出超过11,000个高危和严重漏洞。这款旨在自动发现、验证并修复软件仓库漏洞的工具,据称在扫描的100多万次提交中识别出约800个严重问题。
OpenAI在博客中强调,该工具更像是一位能够深入研究代码库、绘制潜在攻击路径并提出修复方案的安全研究员,而非简单的静态扫描器。"它专为大规模运行而设计,并以易于接受的补丁形式呈现高置信度的发现结果,"该公司在公告中写道。
OpenAI表示,该工具能建立对项目整体的上下文理解,从而专注于实际可利用的漏洞,解决了应用安全团队长期面临的警报疲劳问题。
专有与开源项目中的漏洞发现
在首个测试周期中,Codex Security扫描了外部仓库超过120万次提交,识别出792个严重漏洞和10,561个高危问题。OpenAI表示这些发现来自广泛的真实代码库,同时保持了相对较低的误报率——严重问题出现在不到0.1%的扫描提交中。
网件(Netgear)产品安全主管Chandan Nandakumaraiah在评论中表示:"网件很高兴参与早期访问计划,结果超出预期。Codex Security无缝集成到我们强大的安全开发生态系统中,增强了审查流程的速度和深度。"
除专有仓库外,该工具还在多个广泛使用的开源项目中标记出漏洞,包括OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP和Chromium,目前已分配14个CVE编号。
OpenAI表示这些努力是更广泛的"Codex for OSS"计划的一部分,该计划为维护者提供免费访问Codex工具和安全审查支持。公司计划在未来几周扩展该计划,吸引更多开源维护者加入生态系统。
OpenAI重点介绍了Codex Security发现的13个高影响力开源漏洞,涉及路径遍历、拒绝服务(DoS)和认证绕过等问题。
从"Aardvark"实验到AI安全研究员
Codex Security源自OpenAI早期内部项目"Aardvark",这是一个AI驱动的漏洞研究代理,曾与选定用户进行测试。Aardvark的设计理念是让AI代理阅读代码、测试可能的利用路径,并推理攻击者可能如何入侵系统。
这种代理工作流程使Codex Security系统能够模拟人类安全研究员的运作方式。AI分析仓库历史,建立识别入口点和信任边界的威胁模型,然后探索可能导致敏感结果的攻击路径。
发现潜在漏洞后,系统会在沙箱环境中尝试复现问题,确认其可被利用后才进行报告。验证后,它会生成修复指南,通常以开发者可审查并合并到工作流程中的补丁形式呈现。
Codex Security还能从反馈中持续学习以提高发现质量。"当你调整发现的严重性时,它能利用这些反馈优化威胁模型,并在后续运行中提高精确度,因为它了解你的架构和风险态势中哪些因素更重要,"OpenAI补充道。
自3月9日起,Codex Security以研究预览形式向ChatGPT Pro、Enterprise、Business和Edu客户开放,通过Codex网页提供30天免费使用。
相关攻略
该漏洞源于Angular处理国际化(i18n)安全敏感HTML属性的方式。虽然Angular默认提供强大的内置净化机制来自动清理恶意输入,但当应用为敏感属性启用国际化时,这一关键保护会被绕过。 漏洞
Ubuntu 安全团队在公开发布前通过将 Ubuntu 25 10 的默认 rm 命令恢复为 GNU coreutils 缓解了风险,上游修复已应用于 uutils 代码库。 漏洞概述Ubuntu
本文讲述国外白帽小哥如何从一个简单且超出范围的漏洞入手,被严格WAF拦截后,等待2个半月学习新技能,最终将其升级为高危9 3分反射型XSS(跨站脚本)的全过程。 在漏洞众测中,耐心是最有用的武器,有
该漏洞源于不当的访问控制机制,使得相邻网络中的未认证攻击者能够拦截敏感配置文件,并在基于网络的操作系统部署过程中执行任意代码。 微软宣布将分两个阶段禁用Windows部署服务(WDS)中的无人值守部
为应对风险,建议用户和企业采取以下措施:加强网络控制、避免OpenClaw默认管理端口暴露在互联网、采用容器隔离服务、避免明文存储凭证、仅从可信渠道下载技能模块、禁用技能自动更新功能,以及保持代理程
热门专题
热门推荐
可通过五种方式查看悟空浏览器下载记录:一、内置下载管理器;二、系统通知栏跳转;三、“我的”页面入口;四、文件管理器访问默认目录Download wukong;五、全局搜索文件名。如
3月27日消息,有网友晒出他直播的片段,63岁、身家121亿早就财富自由的俞敏洪,居然在直播间里亲自带面膜。两个助理加上自己,手忙脚乱搞了半天,总算把面膜糊上脸了。旁边的小姐姐都憋笑不停,完了俞敏洪
今早,小鹏汽车官宣2026款小鹏MONA M03全面到店并开启试驾。作为品牌10万级纯电轿车的核心走量担当,MONA M03常年稳居细分市场销量前列,这一次改款看点十足。【P1】废话不多说,一起来看
最近的热搜是一个接着一个来,前有罗永浩邀请杨笠上播客被骂,现有瑞士知名鼠标品牌罗技“自砍一刀”。小雷估计大家伙都刷到视频了吧,那配文真的是不堪入目。“当我说我不会再花一分钱时,我一降价,你还不是像狗
3月26日,董明珠在香港科技大学分享会上演讲,本来是聊年轻人怎么帮中国品牌出海,后来现场有同学提问,未来毕业生的年轻人,怎么帮格力和其他中国品牌走向世界。估计是董明珠觉得这次不好回答,于是她把话题拐