Искусственный интеллект OpenAI просканировал 1,2 миллиона коммитов и обнаружил тысячи уязвимостей
Компания OpenAI анонсировала исследовательский превью Codex Security — нового агента безопасности на базе искусственного интеллекта. Инструмент предназначен для автономного поиска, проверки и предложения исправлений для уязвимостей в программном обеспечении. Первоначально сервис доступен клиентам ChatGPT Pro, Enterprise, Business и Edu через веб-интерфейс и будет бесплатным в течение первого месяца работы.
Этот агент представляет собой эволюцию предыдущего инструмента под названием Aardvark, который находился в закрытой бета-версии. За последние 30 дней тестирования Codex Security просканировал более 1,2 миллиона коммитов во внешних репозиториях кода. В результате было выявлено 792 критические уязвимости и 10 561 проблема безопасности высокой степени серьезности.
Находки охватывают множество известных проектов с открытым исходным кодом, включая OpenSSH, GnuTLS, PHP, Chromium и libssh. OpenAI заявляет, что Codex Security использует расширенные возможности логического вывода своих передовых моделей ИИ в сочетании с автоматизированными процессами проверки.
Такой подход призван значительно минимизировать ложные срабатывания и предоставлять надежные руководства по исправлению. Компания сообщает, что точность сканирования со временем улучшилась, а уровень ложных положительных результатов по всем отслеживаемым репозиториям снизился более чем на 50%.
Агент работает в три этапа: сначала анализирует репозиторий для сбора контекста, затем выявляет потенциальные уязвимости и, наконец, проверяет свои находки перед тем, как представить их пользователям. Эта методология направлена на улучшение соотношения сигнала к шуму в управлении уязвимостями.
Таким образом, Codex Security стремится помочь разработчикам и командам безопасности сосредоточиться на наиболее критических угрозах для их систем, основывая обнаружение на полном контексте системы и предварительной валидации проблем.
