Codex Security – Research Preview veröffentlicht

 (openai.com)
5 Punkte von GN⁺ 2026-03-07 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Ein KI-basierter Anwendungssicherheits-Agent, der den Projektkontext analysiert, um komplexe Schwachstellen zu erkennen, zu verifizieren und zu patchen
  • Entwickelt, um das Problem übermäßiger False Positives und wenig vertrauenswürdiger Warnungen bestehender Sicherheitstools zu verringern und den Fokus auf tatsächlich risikoreiche Schwachstellen zu lenken
  • In der Beta-Phase wurden reale Sicherheitslücken wie SSRF und Cross-Tenant-Authentifizierungsschwachstellen erkannt; dabei wurden die False-Positive-Rate um mehr als 50 % und Überbewertungen der Kritikalität um mehr als 90 % reduziert
  • Derzeit als einmonatige kostenlose Research Preview für ChatGPT Pro-, Enterprise-, Business- und Edu-Kunden verfügbar und mit Unterstützung für systembezogene Threat-Modeling-, Verifizierungs- und Patch-Vorschlagsfunktionen
  • Auch im Open-Source-Ökosystem wurden CVE-Schwachstellen in wichtigen Projekten wie OpenSSH, GnuTLS und GOGS entdeckt und gemeldet; über das Codex for OSS-Programm soll die Unterstützung für Maintainer ausgeweitet werden

Überblick über Codex Security

  • Codex Security nutzt OpenAIs Frontier-Modelle und den Codex-Agenten, um kontextbasierte Sicherheitsanalysen auf Projektebene durchzuführen
    • Statt reiner statischer Analyse wird systemkontextbasierte Erkennung, Verifizierung und Automatisierung von Patches unterstützt
    • Sicherheitsteams können sich auf wichtige Schwachstellen konzentrieren und die Geschwindigkeit sicherer Code-Bereitstellungen erhöhen
  • Ziel ist es, Warnungen mit geringer Vertrauenswürdigkeit und den hohen Aufwand durch übermäßige Klassifizierung, wie er von bestehenden KI-Sicherheitstools verursacht wird, zu reduzieren

Beta-Tests und Leistungsverbesserungen

  • In der frühen Beta (früher unter dem Namen Aardvark) wurden reale Sicherheitslücken wie SSRF und Cross-Tenant-Authentifizierungsschwachstellen erkannt
  • Ergebnisse wiederholter Scans: 84 % weniger Rauschen, mehr als 90 % weniger Überbewertungen der Kritikalität, mehr als 50 % weniger False Positives
  • Innerhalb von 30 Tagen wurden 1,2 Millionen Commits gescannt und dabei 792 kritische Schwachstellen sowie 10.561 Schwachstellen mit hoher Kritikalität erkannt
    • Kritische Schwachstellen machten weniger als 0,1 % aller Commits aus, was das Potenzial für eine effiziente Erkennung auch in großen Codebasen belegt

Hauptfunktionen

  • Aufbau von Systemkontext und Erstellung von Threat Models
    • Analyse der Repository-Struktur zur automatischen Erstellung projektspezifischer Threat Models
    • Die Modelle sind editierbar und können an die Sicherheitsstandards des Teams angepasst werden
  • Priorisierung und Verifizierung von Issues
    • Auf Basis des Threat Models erfolgt eine Klassifizierung von Schwachstellen nach realer Auswirkung
    • Verifizierung in einer Sandbox-Umgebung zur Unterscheidung von Signal und Rauschen sowie Unterstützung bei der Erstellung ausführbarer PoCs
  • Patch-Vorschläge auf Basis des Systemkontexts
    • Sichere Änderungsvorschläge unter Berücksichtigung von Code-Intention und umgebendem Verhalten, mit minimiertem Regressionsrisiko
    • Mit Kritikalitätsfiltern lässt sich die teambezogene Priorisierung steuern
  • Feedback-Lernfunktion
    • Wenn Nutzer die Kritikalität anpassen, wird dies übernommen, um die Präzision des Threat Models zu verbessern

Unterstützung des Open-Source-Ökosystems

  • OpenAI scannt mit Codex Security eigene abhängige Open-Source-Repositories und teilt Informationen zu entdeckten kritischen Schwachstellen mit den Maintainern
  • Maintainer hatten auf das Problem einer Flut minderwertiger Reports hingewiesen; deshalb wurde Codex Security als Meldesystem mit Fokus auf hochvertrauenswürdige Schwachstellen konzipiert
  • Über das Codex for OSS-Programm erhalten Open-Source-Maintainer kostenlose ChatGPT Pro/Plus-Konten sowie Unterstützung bei Code-Reviews und Sicherheitsanalysen
    • Zu den ersten teilnehmenden Projekten gehört vLLM
    • Eine Ausweitung auf weitere Maintainer ist geplant

Entdeckte wichtige Open-Source-Schwachstellen (einige CVEs)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — Funktion im Zusammenhang mit LdapUserMap (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) sowie zahlreiche weitere

Bereitstellung und Zugriff

  • Für ChatGPT Pro-, Enterprise-, Business- und Edu-Kunden wird über Codex Web eine einmonatige kostenlose Research Preview bereitgestellt
  • Künftig lassen sich teambezogene Einstellungen und die Nutzung auf der Dokumentationsseite von Codex Security nachlesen
  • NETGEAR gehört zu den Unternehmen im Early-Access-Programm und bewertet Codex Security als Beitrag zur Verbesserung von Geschwindigkeit und Tiefe von Sicherheitsprüfungen

Fazit

  • Codex Security ist ein neuer Ansatz, der KI-basierte Sicherheitsautomatisierung mit hochvertrauenswürdiger Schwachstellenverifizierung verbindet
  • Ziel sind mehr Effizienz für Sicherheitsteams, eine Stärkung des Open-Source-Ökosystems und die Erkennung realer Risiken in großen Codebasen

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.