OpenAI Codex Security AI-agent jaagt op kritieke lekken

Codex Security is vanaf beschikbaar als research preview voor ChatGPT Pro, Enterprise, Business en Edu-gebruikers. De tool onderscheidt zich door niet alleen code te scannen, maar ook een diepgaand contextueel begrip op te bouwen van het volledige project.

Context is koning

De grootste frustratie bij huidige AI-securitytools is het grote aantal false positives. Codex Security pakt dit aan door eerst een bewerkbaar 'threat model' van het systeem te maken. Hierbij analyseert de agent wat het systeem doet, wie het vertrouwt en waar de grootste risico's liggen.

Vervolgens valideert de agent de gevonden kwetsbaarheden in een afgeschermde zandbakomgeving. Hierdoor kan de AI bewijzen dat een lek daadwerkelijk misbruikt kan worden (Proof-of-Concept) voordat het team wordt gealarmeerd. Tijdens de bètafase leidde dit tot een daling van 50% in valse meldingen en werd de ruis in sommige gevallen zelfs met 84% verminderd.

Successen in de praktijk

De resultaten van de afgelopen 30 dagen zijn indrukwekkend: Codex Security scande meer dan 1,2 miljoen commits en identificeerde 792 kritieke kwetsbaarheden. Volgens Chandan Nandakumaraiah, hoofd productbeveiliging bij NETGEAR, voelt het werken met de tool alsof er "een ervaren security-onderzoeker zij aan zij met het team werkt."

Steun voor Open Source

OpenAI gebruikt de tool ook om de fundamenten van het internet te versterken. Er zijn inmiddels kritieke kwetsbaarheden gerapporteerd aan belangrijke open-source projecten zoals OpenSSH, PHP, Chromium en libssh, wat al heeft geleid tot veertien officieel toegekende CVE-nummers.

Open-source beheerders krijgen gratis toegang tot de tool via het 'Codex for OSS'-programma, zodat zij hun projecten kunnen beveiligen zonder te verdrinken in een stortvloed aan kwalitatief slechte bugrapporten.