Codex Security - vista previa de investigación disponible

 (openai.com)
5 puntos por GN⁺ 2026-03-07 | Aún no hay comentarios. | Compartir por WhatsApp
  • Un agente de seguridad de aplicaciones impulsado por IA que analiza el contexto del proyecto para detectar, verificar y corregir vulnerabilidades complejas
  • Diseñado para reducir el problema de las falsas alarmas excesivas y alertas de baja confianza que generan las herramientas de seguridad existentes, y para enfocarse en las vulnerabilidades con mayor riesgo real
  • En la fase beta detectó fallas de seguridad reales, como SSRF y vulnerabilidades de autenticación entre tenants, y registró resultados de más de 50% de reducción en la tasa de falsos positivos y más de 90% de reducción en el sobrerreporte de severidad
  • Actualmente está disponible como vista previa de investigación gratuita por 1 mes para clientes de ChatGPT Pro, Enterprise, Business y Edu, con soporte para modelado de amenazas por sistema, verificación y sugerencias de parches
  • También en el ecosistema de código abierto ha descubierto y reportado vulnerabilidades CVE en proyectos clave como OpenSSH, GnuTLS y GOGS, y planea ampliar el apoyo a mantenedores mediante el programa Codex for OSS

Resumen de Codex Security

  • Codex Security realiza análisis de seguridad basados en el contexto del proyecto usando los modelos frontier de OpenAI y el agente Codex
    • En lugar de limitarse al análisis estático, ofrece detección, verificación y automatización de parches basadas en el contexto de cada sistema
    • Permite que los equipos de seguridad se enfoquen en las vulnerabilidades importantes y aceleren el despliegue de código seguro
  • Su objetivo es reducir las alertas de baja confianza y la carga excesiva de clasificación que han provocado las herramientas de seguridad con IA existentes

Pruebas beta y mejoras de rendimiento

  • En la beta inicial (antes llamada Aardvark) detectó fallas de seguridad reales como SSRF y vulnerabilidades de autenticación entre tenants
  • En escaneos repetidos, logró 84% menos ruido, más de 90% menos sobrerreporte de severidad y más de 50% menos falsos positivos
  • Escaneó 1.2 millones de commits en 30 días y detectó 792 vulnerabilidades críticas y 10,561 vulnerabilidades de alta severidad
    • Las vulnerabilidades críticas representaron menos del 0.1% del total de commits, lo que demuestra la posibilidad de detección eficiente incluso en código a gran escala

Funciones principales

  • Construcción del contexto del sistema y generación de modelos de amenazas
    • Analiza la estructura del repositorio para crear automáticamente un modelo de amenazas por proyecto
    • El modelo se puede editar y ajustar según los criterios de seguridad del equipo
  • Priorización y verificación de issues
    • Con base en el modelo de amenazas, realiza clasificación de vulnerabilidades centrada en el impacto real
    • Verifica en un entorno sandbox para distinguir señal de ruido y permite generar PoC ejecutables
  • Sugerencias de parches basadas en el contexto del sistema
    • Presenta correcciones seguras considerando la intención del código y el comportamiento circundante, minimizando el riesgo de regresiones
    • El filtrado por importancia permite gestionar prioridades por equipo
  • Función de aprendizaje por retroalimentación
    • Si el usuario ajusta la severidad, eso se refleja para mejorar la precisión del modelo de amenazas

Soporte para el ecosistema de código abierto

  • OpenAI escanea con Codex Security los repositorios de código abierto de los que depende internamente y comparte con los mantenedores la información sobre vulnerabilidades importantes descubiertas
  • Los mantenedores señalaron el problema del exceso de reportes de baja calidad, por lo que Codex Security fue diseñado con un sistema de reportes centrado en vulnerabilidades de alta confianza
  • A través del programa Codex for OSS, se ofrece a los mantenedores de código abierto acceso gratuito a cuentas ChatGPT Pro/Plus, revisión de código y soporte de análisis de seguridad
    • vLLM está incluido como proyecto participante inicial
    • Se planea ampliar el programa a más mantenedores en el futuro

Principales vulnerabilidades descubiertas en código abierto (algunos CVE)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — funciones relacionadas con LdapUserMap (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881), entre muchas otras

Despliegue y acceso

  • Se ofrece una vista previa de investigación gratuita por 1 mes de Codex web para clientes de ChatGPT Pro, Enterprise, Business y Edu
  • Más adelante será posible consultar la configuración y el uso por equipo en la página de documentación de Codex Security
  • NETGEAR participa como empresa del programa de acceso inicial y evaluó que Codex Security contribuyó a mejorar la velocidad y profundidad de las revisiones de seguridad

Conclusión

  • Codex Security representa un nuevo enfoque que combina automatización de seguridad basada en IA y verificación de vulnerabilidades de alta confianza
  • Su objetivo es mejorar la eficiencia de los equipos de seguridad, fortalecer el ecosistema de código abierto y detectar riesgos reales en codebases a gran escala

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.