📢 转载信息
原文链接:https://openai.com/index/codex-security-now-in-research-preview
原文作者:OpenAI
今天,我们正式推出应用安全智能体 Codex Security。它能构建关于项目的深层上下文,从而识别其他智能体工具遗漏的复杂漏洞,提供更高置信度的分析结果及其修复方案。这能切实提升系统安全性,同时避免琐碎缺陷带来的干扰。
在评估真实安全风险时,上下文至关重要,但目前大多数 AI 安全工具只会标记低影响的发现和误报,迫使安全团队耗费大量时间进行初筛。与此同时,智能体正在加速软件开发,这也使得安全评审日益成为开发中的核心瓶颈。
Codex Security 同时解决了这两大挑战。通过将前沿模型的智能体推理能力与自动化验证相结合,它能输出高置信度的分析结果和可执行的修复方案,使团队能够专注于核心漏洞,从而更快地交付安全代码。
Codex Security 工作原理
Codex Security 基于 OpenAI 的前沿模型和 Codex 智能体 构建。它通过将漏洞发现、验证和补丁修复植根于系统特定的上下文中,从而降低干扰并加速修复进程。
- 构建系统上下文并创建可编辑的威胁模型: 配置扫描后,它会分析代码仓库以理解系统的安全相关架构,并生成特定于项目的威胁模型。该模型能够记录系统功能、信任边界以及最易受攻击的薄弱环节。你可以对威胁模型进行编辑,使智能体与团队的评审标准保持一致。
- 优先级排序与漏洞验证: 它以威胁模型为上下文搜索漏洞,并根据系统预计会受到的实际影响对发现的问题进行分类。在条件允许的情况下,它会在沙盒验证环境中对漏洞进行压测 (Pressure-test),以区分真实风险信号与干扰噪声。
- 基于全系统上下文修复漏洞: 最后,Codex Security 会针对发现的问题提出修复建议,并确保补丁符合系统设计意图及周边代码行为。这能实现在提升安全性的同时,将回归风险降至最低。
支持开源社区
开源软件构成了现代系统的基础。我们一直使用 Codex Security 扫描我们高度依赖的开源代码仓库,并将识别出的高影响安全发现分享给维护者,以协助增强这些基础系统的安全性。我们目前已向 OpenSSH、GnuTLS、GOGS 等多个广泛使用的开源项目报告了严重漏洞,并已分配 14 个 CVE 编号。
此外,我们还发起了“Codex for OSS”计划,旨在为开源维护者提供免费的 ChatGPT Pro 和 Plus 帐户、代码评审以及 Codex Security 工具支持。vLLM 等项目已经开始将其作为常规工作流的一部分。
开始使用
即日起,Codex Security 将通过 Codex 网页版向 ChatGPT Enterprise、Business 和 Edu 客户陆续推送,并提供为期一个月的免费使用。
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区