OpenAI annonce, dans une publication officielle, la mise à disposition en « research preview » de Codex Security, un agent de sécurité applicative conçu pour réduire le bruit, améliorer la précision des détections et proposer des correctifs alignés sur le contexte des projets.

• Codex Security s’appuie sur les modèles de pointe et l’agent Codex pour bâtir un contexte profond du système, prioriser les vulnérabilités selon leur impact réel, et valider les trouvailles dans des environnements sandbox ou directement dans le système en cours d’exécution. L’objectif est de diminuer les faux positifs et d’accélérer la remédiation avec des correctifs plus sûrs et mieux intégrés.

• Anciennement nommé « Aardvark », l’outil a détecté en interne un SSRF, une faille critique d’authentification cross-tenant, et d’autres problèmes corrigés en quelques heures. Au fil de la bêta, la précision s’est améliorée (jusqu’à -84% de bruit sur un dépôt), les sévérités surévaluées ont chuté de >90%, et les faux positifs ont baissé de >50% sur l’ensemble des dépôts, alignant mieux la sévérité déclarée avec le risque réel et allégeant la triage.

• Fonctionnement (3 étapes principales) :

  1. Modélisation de menaces éditable et spécifique au projet (délimite ce que fait le système, ce qu’il confie, où il est exposé).
  2. Priorisation et validation des issues avec création de PoC lorsque possible, notamment via validation sur système réel configuré.
  3. Patch contextuel minimisant les régressions, avec filtrage des findings selon l’impact pour se concentrer sur l’essentiel. L’outil apprend des retours (ajustements de criticité) pour affiner le modèle de menace et la précision sur les exécutions suivantes.

• Échelle et disponibilité : sur 30 jours, plus de 1,2 million de commits scannés dans les dépôts externes du cohort bêta, avec 792 findings critiques et 10 561 findings de haute sévérité; les critiques touchent <0,1% des commits analysés. Déploiement en research preview pour les clients ChatGPT Pro, Enterprise, Business et Edu via Codex web, avec un mois d’usage gratuit au lancement.

• Soutien à l’open source : OpenAI scanne les dépôts open source clés et privilégie des signalements à haute confiance pour éviter la surcharge de triage. Programme Codex for OSS (accès gratuit à ChatGPT Pro/Plus, code review et Codex Security) déjà utilisé par des projets comme vLLM, avec une expansion prévue.

TTPs et vulnérabilités citées :

  • SSRF (Server-Side Request Forgery)
  • Vulnérabilité critique d’authentification cross-tenant

Type d’article : annonce de « nouveaux outils » présentant un agent de sécurité applicative et ses capacités, ses résultats bêta et sa disponibilité.

🔗 Source originale : https://openai.com/index/codex-security-now-in-research-preview/?utm_source=substack&utm_medium=email