OpenAI कोड सिक्योरिटी पर आक्रामक रुख अपना रहा है। कंपनी आज [Codex](https://chatgpt.com/codex) Security लॉन्च कर रही है, एक एप्लिकेशन सिक्योरिटी एजेंट जो आपके कोड रिपॉजिटरी का गहन विश्लेषण करके उन गंभीर कमजोरियों की पहचान करता है जो पारंपरिक टूल्स से छूट जाती हैं। पारंपरिक स्कैनर्स के विपरीत जो टीमों को फॉल्स पॉजिटिव्स से डुबो देते हैं, Codex Security पहले आपके प्रोजेक्ट-विशिष्ट थ्रेट मॉडल बनाता है और फिर कमजोरियां खोजता है — साथ ही मर्ज-रेडी फिक्स भी प्रस्तावित करता है।
असली समस्या: बहुत अधिक शोर, बहुत कम सिग्नल
वर्तमान AI सिक्योरिटी टूल्स में एक मूलभूत दोष है: वे कोड का विश्लेषण सिस्टम को समझे बिना करते हैं। परिणाम? सैकड़ों अलर्ट, जिनमें अधिकांश फॉल्स पॉजिटिव या कम प्रभाव वाली खोजें होती हैं। सिक्योरिटी टीमें वास्तविक समस्याओं को ठीक करने की बजाय शोर को छांटने में अधिक समय बिताती हैं।
AI एजेंट्स द्वारा विकास में तेजी के साथ समस्या और बढ़ जाती है। जब आपके डेवलपर्स GitHub Copilot, Cursor या OpenAI Codex का उपयोग तेजी से कोड लिखने के लिए करते हैं, तो सिक्योरिटी रिव्यू पाइपलाइन में गंभीर अड़चन बन जाता है। Codex Security दोनों पक्षों को संबोधित करता है।
Codex Security कैसे काम करता है
1. कस्टम थ्रेट मॉडल का निर्माण
स्कैन कॉन्फ़िगर करने के बाद, Codex Security आपके रिपॉजिटरी का विश्लेषण करके सिस्टम की सिक्योरिटी-प्रासंगिक संरचना को समझता है। यह एक प्रोजेक्ट-विशिष्ट थ्रेट मॉडल बनाता है जो कैप्चर करता है कि सिस्टम क्या करता है, किस पर भरोसा करता है, और कहां सबसे अधिक एक्सपोज्ड है। यह थ्रेट मॉडल एडिटेबल है।
यह दृष्टिकोण में एक क्रांतिकारी बदलाव है। ज्ञात पैटर्न के लिए आंख मूंदकर कोड स्कैन करने के बजाय, एजेंट पहले बिजनेस कॉन्टेक्स्ट समझता है और फिर कमजोरियां खोजता है।
2. प्राथमिकता और सैंडबॉक्स वैलिडेशन
थ्रेट मॉडल को संदर्भ के रूप में उपयोग करते हुए, Codex Security कमजोरियों की खोज करता है और आपके सिस्टम में उनके वास्तविक प्रभाव के आधार पर खोजों को वर्गीकृत करता है। जहां संभव हो, यह सिग्नल को शोर से अलग करने के लिए सैंडबॉक्स वैलिडेशन वातावरण में खोजों का परीक्षण करता है।
जब Codex Security आपके प्रोजेक्ट के अनुकूल वातावरण से कॉन्फ़िगर होता है, तो यह चल रहे सिस्टम के संदर्भ में सीधे संभावित समस्याओं को वैलिडेट कर सकता है। यह गहन वैलिडेशन फॉल्स पॉजिटिव्स को और कम करता है और काम करने वाले प्रूफ-ऑफ-कॉन्सेप्ट बनाने में सक्षम बनाता है।
3. पूर्ण सिस्टम संदर्भ के साथ फिक्स
अंत में, Codex Security सिस्टम इरादे और आसपास के व्यवहार के अनुरूप फिक्स प्रस्तावित करता है। लक्ष्य: ऐसे पैच जो रिग्रेशन को कम करते हुए सिक्योरिटी में सुधार करें।
एजेंट समय के साथ आपकी प्रतिक्रिया से भी सीखता है। जब आप किसी खोज की गंभीरता समायोजित करते हैं, तो यह थ्रेट मॉडल को परिष्कृत करने और बाद के स्कैन में सटीकता बढ़ाने के लिए उस फीडबैक का उपयोग करता है।
बोलते हैं आंकड़े
बीटा के पिछले 30 दिनों में, Codex Security ने बाहरी टेस्टर रिपॉजिटरी में 1.2 मिलियन से अधिक कमिट्स स्कैन किए:
| मीट्रिक | मान |
|---|---|
| स्कैन किए गए कमिट्स (30 दिन) | 1.2 मिलियन+ |
| गंभीर खोजें | 792 |
| उच्च-गंभीरता खोजें | 10,561 |
| गंभीर इश्यू वाले कमिट्स | < 0.1% |
| शोर में कमी (सर्वोत्तम केस) | -84% |
| अधिक-रिपोर्ट की गई गंभीरता में कमी | -90% |
| फॉल्स पॉजिटिव में कमी | -50%+ |
30 दिनों में Codex Security बीटा परिणाम
प्रमुख ओपन सोर्स प्रोजेक्ट्स में 14 CVE खोजे गए
OpenAI ने Codex Security का उपयोग उन ओपन सोर्स रिपॉजिटरी को स्कैन करने के लिए किया जिन पर उसके अपने सिस्टम निर्भर हैं। परिणाम: OpenSSH, GnuTLS, GOGS, Chromium, PHP और libssh जैसे गंभीर प्रोजेक्ट्स में 14 CVE असाइन किए गए।
- GnuTLS: Heap-Buffer Overflow (CVE-2025-32990), Heap Buffer Overread (CVE-2025-32989), Double-Free (CVE-2025-32988)
- GOGS: 2FA ऑथेंटिकेशन बाइपास (CVE-2025-64175), अनऑथेंटिकेटेड बाइपास (CVE-2026-25242)
- GnuPG/gpg-agent: PKDECRYPT के माध्यम से स्टैक बफर ओवरफ्लो (CVE-2026-24881, CVE-2026-24882)
- Thorium: Path traversal, LDAP injection, DoS (5 CVE)
- GnuPG: CMS/PKCS7 buffer overflow (CVE-2025-15467), PKCS#12 MAC bypass (CVE-2025-11187)
OpenAI ने Codex for OSS लॉन्च किया है, जो ओपन सोर्स मेंटेनर्स को मुफ्त ChatGPT Pro और Plus अकाउंट, कोड रिव्यू और Codex Security एक्सेस प्रदान करता है।
Aardvark से Codex Security तक: एक सफल बीटा
पहले Aardvark के नाम से जाना जाने वाला यह प्रोजेक्ट पिछले साल ग्राहकों के एक छोटे समूह के साथ प्राइवेट बीटा के रूप में शुरू हुआ था। OpenAI में आंतरिक डिप्लॉयमेंट में, एजेंट ने एक वास्तविक SSRF, एक गंभीर क्रॉस-टेनेंट ऑथेंटिकेशन भेद्यता का पता लगाया।
| बीटा सुधार | विवरण |
|---|---|
| शोर में कमी | एक ही रिपॉजिटरी पर -84% तक |
| अधिक-रिपोर्ट की गई गंभीरता | 90% से अधिक कम |
| फॉल्स पॉजिटिव | सभी रिपॉजिटरी में 50% से अधिक कम |
Codex Security बीटा के दौरान मापे गए सुधार
“निष्कर्ष प्रभावशाली रूप से स्पष्ट और व्यापक थे, अक्सर यह एहसास दिलाते हुए कि एक अनुभवी प्रोडक्ट सिक्योरिटी शोधकर्ता हमारे साथ काम कर रहा है।”
उपलब्धता और मूल्य निर्धारण
Codex Security आज से ChatGPT Enterprise, Business और Edu ग्राहकों के लिए Codex web के माध्यम से रिसर्च प्रीव्यू में उपलब्ध है।
प्रतिस्पर्धा में Codex Security
AI-सहायता प्राप्त एप्लिकेशन सिक्योरिटी बाजार में तेजी से विस्फोट हो रहा है। [Aikido Security](https://aikido.dev) जैसे खिलाड़ी पहले से ही डेवलपर-फर्स्ट सिक्योरिटी प्लेटफॉर्म प्रदान करते हैं। GitHub ने GitHub Copilot और Advanced Security में उन्नत सिक्योरिटी सुविधाएं एकीकृत की हैं।
Codex Security को जो अलग करता है वह है संदर्भ-आधारित थ्रेट मॉडल + सैंडबॉक्स वैलिडेशन दृष्टिकोण। अधिकांश प्रतिस्पर्धी टूल्स सोर्स कोड पर पैटर्न मैचिंग के माध्यम से काम करते हैं। Codex Security पहले सिस्टम की समझ बनाता है, फिर संदर्भ में कमजोरियां खोजता है।
डेवलपमेंट टीमों के लिए क्या बदलता है
जो टीमें पहले से OpenAI इकोसिस्टम का उपयोग करती हैं — उत्पादकता के लिए ChatGPT Enterprise, विकास के लिए OpenAI Codex — उनके लिए Codex Security पाइपलाइन में एक स्वाभाविक परत के रूप में फिट होता है।
एप्लिकेशन सिक्योरिटी हमेशा विकास चक्र की उपेक्षित कड़ी रही है: बहुत धीमी, बहुत शोरगुल वाली, संदर्भ से बहुत दूर। अगर Codex Security अपने वादे पूरे करता है तो यह सिक्योरिटी को बाधा से त्वरक में बदल सकता है। यही वह चीज है जो Claude, Cursor या GitHub Copilot से कोड करने वाली टीमों को चाहिए।
इस लेख में उल्लेखित उपकरण
स्रोत और संदर्भ
आधिकारिक स्रोत:
- OpenAI - Introducing Codex Security - openai.com
- OpenAI Codex Documentation - platform.openai.com
हमारी विस्तृत समीक्षाएं देखें:
AI समाचार फॉलो करें
AI सिक्योरिटी और डेवलपमेंट टूल्स पर नवीनतम अपडेट प्राप्त करें।
कोई स्पैम नहीं। 1 क्लिक में सदस्यता रद्द करें।
