关注CAIE,国内头部AI人才认证、培训体系,助你在职场升职加薪。
今天凌晨2点10分,OpenAI重磅发布了安全AI智能体Codex Security。
从今天开始,Codex Security的研究预览版已经在Codex网页端上线了,ChatGPT企业版、商业版和教育版的用户都能用上,而且未来一个月是免费的,这波福利属实到位了。
做代码安全检测的朋友应该都有同感,看真实的安全风险,项目的上下文信息特别重要。
可现在不少AI安全工具根本抓不住重点,要么标一堆没什么影响的小问题,还会报假漏洞,安全团队每天光在这些无效信息里筛选排查,时间全耗没了。
而且现在AI智能体工具让软件开发速度越来越快,安全评审反倒成了拖后腿的环节,卡着进度走不动。
Codex Security就是冲着这两个痛点来的,通过把前沿大模型的超强推理能力和自动化验证技术揉到了一起,不仅能精准找到真正的漏洞,给出的检测结果可信度超高,连修复方案都是能直接落地。
这样团队就能把所有精力放在核心漏洞上,不用再被杂七杂八的问题干扰,代码能更快更安全地发布。
其实这款工具早有雏形,之前叫Aardvark,去年就开启了小规模的私有测试,当时只对部分客户开放。
早期在内部用的时候,它就立了大功,直接检测出了服务器端请求伪造和跨租户认证这类严重的真实漏洞,安全团队拿到结果后,几小时就把补丁打好了。
后来和外部测试人员合作使用,还优化了用户提交项目上下文信息的方式,从工具接入到整个代码安全防护的流程,都打磨得更顺畅了。
测试阶段的优化效果更是肉眼可见,对同一个代码仓库持续扫描的过程中,检测精准度一直在提升。
其中一个使用场景里,从首次推出到现在,无效的干扰信息直接少了84%,把漏洞严重等级报高的情况降了90%以上,所有代码仓库的检测误报率也都降了超50%。
Codex Security工作原理
Codex Security核心就是结合每个系统的专属上下文,去做漏洞发现、验证和补丁修复,一步步把无效干扰减到最少,让漏洞补救的速度提上来。
首先它会先给项目搭起专属的上下文,生成能编辑的威胁模型。只要完成扫描配置,它就会自动分析整个代码仓库,把系统里和安全相关的架构理得明明白白,然后生成一个只属于这个项目的威胁模型。
这个模型能清楚展示系统的功能、信任体系,还有哪些地方是核心的风险暴露点。
而且还支持手动编辑,完全能跟着团队的安全工作需求调整,不会出现工具和实际工作脱节的情况。
接着就到了漏洞优先级划分和验证环节,这也是它比其他工具精准的关键。
它会以刚生成的威胁模型为依据,去排查系统里的漏洞,还会根据漏洞在实际业务中可能造成的影响,给检测结果分等级。
哪些是急着修的核心漏洞,哪些是可以缓一缓的,一眼就能看清。
条件允许的话,它还会在沙箱验证环境里对检测结果做压力测试,把真漏洞和无效的干扰信息彻底分开,用户还能直接看到每一个已验证结果的分析过程。
如果给它配置了和项目适配的运行环境,它甚至能在实际运行的系统里直接验证潜在漏洞,这种深度验证不仅能把误报率压得更低。
还能生成可运行的概念验证程序,给安全团队提供实打实的漏洞证据,修复的路径也能定得明明白白,不用再自己摸索。
最后一步,就是结合全系统的上下文给出修复方案。它不会随便给个通用方案就完事,而是针对发现的每个漏洞,结合系统的设计初衷和周边的业务逻辑,给出适配性极强的修复方案。
按照这个方案打补丁,既能提升系统的安全性,又能最大程度减少系统回归的问题,后续补丁的评审和落地都会更安全。
用户还能自己筛选检测结果,只看团队最关注、安全影响最高的漏洞,把精力用在刀刃上。
更重要的是,Codex Security还能持续学习用户的反馈,越用越精准。如果用户调整了某个漏洞的严重等级,它会把这个反馈记下来,优化对应的威胁模型。
后续再扫描的时候,精准度会更高,慢慢就会适配企业的架构特点和风险防控策略,相当于为每个企业量身打造了一个专属的安全检测助手。
在过去30天里,Codex Security给测试版用户的外部代码仓库做了超120万次代码提交扫描,一共发现了792个严重漏洞、10561个高危漏洞,而严重漏洞出现在不到0.1%的扫描提交记录里。
这组数据就能看出来,它能在海量的代码里精准揪出那些影响大的安全漏洞,同时把评审人员要面对的无效干扰降到最低,效率直接拉满。
目前用Codex Security已经在多款广泛使用的开源项目里发现了严重的安全漏洞,像OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP和Chromium这些大家常用的项目都在其中。
想系统掌握AI核心技能、获取行业认可资质?
CAIE注册人工智能工程师认证
助你拓宽职业赛道,成为AI领域持证实力派
热门跟贴