Codex Security - publication d’un aperçu de recherche

 (openai.com)
5 points par GN⁺ 2026-03-07 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Un agent de sécurité applicative basé sur l’IA qui analyse le contexte du projet pour détecter, vérifier et corriger des vulnérabilités complexes
  • Conçu pour réduire les faux positifs excessifs et les alertes peu fiables générés par les outils de sécurité existants, et pour se concentrer sur les vulnérabilités réellement risquées
  • En phase bêta, il a détecté de véritables failles de sécurité, dont des vulnérabilités SSRF et d’authentification inter-tenant, avec des résultats de plus de 50 % de réduction du taux de faux positifs et de plus de 90 % de réduction des surévaluations de gravité
  • Actuellement proposé comme aperçu de recherche gratuit pendant 1 mois aux clients ChatGPT Pro, Enterprise, Business et Edu, avec des fonctions de modélisation des menaces, de vérification et de suggestions de correctifs par système
  • Dans l’écosystème open source également, il a découvert et signalé des vulnérabilités CVE dans des projets majeurs comme OpenSSH, GnuTLS et GOGS, et prévoit d’élargir le soutien aux mainteneurs via le programme Codex for OSS

Aperçu de Codex Security

  • Codex Security réalise une analyse de sécurité fondée sur le contexte du projet en s’appuyant sur les modèles frontier d’OpenAI et l’agent Codex
    • Il ne s’agit pas d’une simple analyse statique, mais d’une prise en charge de la détection, la vérification et l’automatisation des correctifs basées sur le contexte propre à chaque système
    • Les équipes sécurité peuvent se concentrer sur les vulnérabilités critiques et accélérer le déploiement de code sécurisé
  • L’objectif est de réduire les alertes peu fiables et la charge excessive de tri provoquées par les outils de sécurité IA existants

Bêta test et amélioration des performances

  • Lors de la bêta initiale (anciennement Aardvark), il a détecté de véritables failles de sécurité, dont des vulnérabilités SSRF et d’authentification inter-tenant
  • À l’issue de scans répétés : 84 % de bruit en moins, plus de 90 % de réduction des surévaluations de gravité et plus de 50 % de réduction du taux de faux positifs
  • En 30 jours, il a analysé 1,2 million de commits et détecté 792 vulnérabilités critiques ainsi que 10 561 vulnérabilités de sévérité élevée
    • Les vulnérabilités critiques représentaient moins de 0,1 % de l’ensemble des commits, ce qui démontre le potentiel d’une détection efficace même sur de très grandes bases de code

Principales fonctionnalités

  • Construction du contexte système et génération de modèles de menace
    • Analyse de la structure du dépôt pour générer automatiquement un modèle de menace propre au projet
    • Le modèle est modifiable et peut être ajusté selon les critères de sécurité de l’équipe
  • Priorisation et vérification des problèmes
    • À partir du modèle de menace, il effectue une classification des vulnérabilités centrée sur l’impact réel
    • Vérification en environnement sandbox pour distinguer le signal du bruit et aider à générer des PoC exploitables
  • Suggestions de correctifs fondées sur le contexte système
    • Propose des correctifs sûrs tenant compte de l’intention du code et de son comportement environnant, afin de minimiser les risques de régression
    • Un filtrage par criticité permet de gérer les priorités selon l’équipe
  • Fonction d’apprentissage à partir des retours
    • Lorsque l’utilisateur ajuste la gravité, le système en tient compte pour améliorer la précision du modèle de menace

Soutien à l’écosystème open source

  • OpenAI utilise Codex Security pour analyser ses dépôts open source dont il dépend, puis partage avec les mainteneurs les informations sur les vulnérabilités critiques détectées
  • Les mainteneurs ont signalé le problème de la surabondance de rapports de faible qualité ; Codex Security a donc été conçu autour d’un système de signalement centré sur des vulnérabilités à forte fiabilité
  • Le programme Codex for OSS fournit aux mainteneurs open source des comptes ChatGPT Pro/Plus gratuits, ainsi qu’un support pour la revue de code et l’analyse de sécurité
    • vLLM figure parmi les premiers projets participants
    • Une extension à davantage de mainteneurs est prévue à l’avenir

Principales vulnérabilités open source découvertes (quelques CVE)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — fonctions liées à LdapUserMap (CVE-2025-35431)
  • Disabled TLS Verification — client Elasticsearch (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881), entre autres

Déploiement et accès

  • Un aperçu de recherche gratuit pendant 1 mois de Codex est proposé via le web Codex aux clients ChatGPT Pro, Enterprise, Business et Edu
  • À l’avenir, il sera possible de consulter les paramètres par équipe et le mode d’emploi sur la page de documentation de Codex Security
  • NETGEAR, entreprise participante au programme d’accès initial, estime que Codex Security a contribué à renforcer la rapidité et la profondeur des revues de sécurité

Conclusion

  • Codex Security propose une nouvelle approche qui combine automatisation de la sécurité par l’IA et vérification de vulnérabilités à forte fiabilité
  • L’objectif est d’améliorer l’efficacité des équipes sécurité, de renforcer l’écosystème open source et de détecter les risques réels au sein de vastes bases de code

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.