OpenAI đã chính thức công bố ra mắt Codex Security, một tác nhân bảo mật ứng dụng được thiết kế để tự động xác định, xác thực và khắc phục các lỗ hổng phức tạp trong các cơ sở mã nguồn doanh nghiệp và mã nguồn mở. Công cụ này đại diện cho một bước tiến quan trọng trong lĩnh vực an ninh mạng.

Trước đây được biết đến với tên gọi Aardvark, giải pháp này tận dụng các mô hình AI tiên tiến để cung cấp các đánh giá bảo mật theo ngữ cảnh. Mục tiêu chính là thay thế các công cụ phân tích tĩnh truyền thống, vốn thường tạo ra nhiều cảnh báo nhiễu, các phát hiện có tác động thấp và tỷ lệ dương tính giả cao, gây quá tải cho các đội ngũ bảo mật.

Giải pháp AI đột phá cho Bảo mật ứng dụng

Codex Security chủ động kiểm thử các khai thác tiềm năng và tạo ra các bản vá có khả năng thực thi. Điều này giúp giải quyết tắc nghẽn trong quy trình đánh giá mã, một vấn đề ngày càng trở nên cấp bách do sự phát triển phần mềm được hỗ trợ bởi AI.

Bắt đầu từ hôm nay, tác nhân này đang được triển khai dưới dạng bản xem trước nghiên cứu cho khách hàng ChatGPT Pro, Enterprise, Business và Edu thông qua giao diện web của Codex.

Cơ chế hoạt động và Ưu điểm vượt trội

Khác với các công cụ kiểm thử bảo mật ứng dụng truyền thống, Codex Security bắt đầu phân tích bằng cách xây dựng một mô hình mối đe dọa cụ thể cho từng dự án. Mô hình này có thể chỉnh sửa, giúp ánh xạ các ranh giới tin cậy của hệ thống và các điểm phơi nhiễm tiềm tàng.

Với sự hiểu biết theo ngữ cảnh này, tác nhân ưu tiên các lỗ hổng dựa trên tác động thực tế, thay vì sử dụng các phương pháp heuristics chung chung. Để loại bỏ các cảnh báo nhiễu, Codex Security chủ động xác thực các phát hiện của mình bằng cách thực thi các khai thác proof-of-concept (PoC) trong môi trường sandbox.

Nếu một lỗ hổng được xác nhận, tác nhân sẽ tạo ra một bản vá theo ngữ cảnh. Bản vá này được thiết kế để giảm thiểu các hồi quy và tương thích với kiến trúc hệ thống xung quanh.

Hiệu suất và Khả năng mở rộng của Codex Security

Trong giai đoạn thử nghiệm riêng tư (private beta), hệ thống đã chứng minh những cải thiện đáng kể về tỷ lệ tín hiệu/nhiễu. Trên các kho lưu trữ được giám sát, OpenAI đã báo cáo:

• Giảm 84% tiếng ồn cảnh báo.
• Giảm 90% mức độ nghiêm trọng được báo cáo quá mức.
• Giảm hơn 50% tỷ lệ dương tính giả.

Khả năng mở rộng của tác nhân đã được thể hiện trong 30 ngày cuối cùng của giai đoạn beta. Trong thời gian này, hệ thống đã quét hơn 1,2 triệu lượt commit từ các kho lưu trữ bên ngoài.

Phân tích này đã thành công xác định 792 lỗ hổng nghiêm trọng (critical vulnerabilities) và 10.561 vấn đề có mức độ nghiêm trọng cao (high-severity issues). Điều đáng chú ý là các lỗ hổng nghiêm trọng chỉ xuất hiện trong chưa đến 0,1% tổng số commit được quét.

Đóng góp cho Hệ sinh thái Mã nguồn mở và Phát hiện Lỗ hổng CVE

Một thành phần cốt lõi trong việc triển khai Codex Security là ứng dụng của nó cho phần mềm mã nguồn mở (OSS) quan trọng. OpenAI đã sử dụng tác nhân này để kiểm toán các dự án được sử dụng rộng rãi như OpenSSH, GnuTLS, PHP và Chromium. Mục tiêu là ưu tiên thông tin tình báo có giá trị thực tiễn hơn là các báo cáo mang tính suy đoán.

Các đợt quét này đã dẫn đến việc phát hiện các zero-day vulnerability có tác động cao và gán 14lỗ hổng CVE chính thức. Đây là một đóng góp quan trọng cho cộng đồng bảo mật toàn cầu.

Chương trình “Codex for OSS”

Để liên tục củng cố hệ sinh thái OSS, OpenAI đang triển khai chương trình “Codex for OSS”. Chương trình này cung cấp quyền truy cập miễn phí vào tài khoản ChatGPT Pro, hạ tầng đánh giá mã và Codex Security cho các nhà duy trì mã nguồn mở đủ điều kiện.

Khuyến nghị và Hướng dẫn cấu hình

Các đội ngũ bảo mật và phát triển được khuyến nghị xem xét tài liệu dành cho nhà phát triển chính thức của OpenAI để cấu hình tích hợp kho lưu trữ và thiết lập các mô hình mối đe dọa cơ bản. Thông tin chi tiết có thể tìm thấy tại OpenAI Developer Documentation.

Đối với các nhà duy trì mã nguồn mở quan tâm đến việc tận dụng các khả năng này, ứng dụng cho chương trình Codex for OSS hiện đang mở thông qua nền tảng của OpenAI.

Các tổ chức đang sử dụng các thành phần phần mềm dễ bị tổn thương được liệt kê cần theo dõi ngay lập tức các khuyến cáo của nhà cung cấp và triển khai các bản vá đã được xác thực bởi các nhà duy trì tương ứng.