OpenAI introduceert een beveiligingstool voor softwareontwikkeling onder de naam Codex Security. De toepassing, die momenteel beschikbaar is in een research preview, moet ontwikkelteams helpen kwetsbaarheden in code sneller en nauwkeuriger op te sporen.
Volgens OpenAI richt de tool zich vooral op het verminderen van fout-positieven en het beter prioriteren van daadwerkelijke beveiligingsrisico’s.
De tool maakt gebruik van de AI-modellen van OpenAI en een agentbenadering om beveiligingsproblemen te analyseren in de context van een volledige codebase. In plaats van alleen losse kwetsbaarheden te signaleren probeert het systeem te begrijpen hoe een applicatie is opgebouwd en welke onderdelen van het systeem het grootste risico vormen.
In Anthropics voetsporen
Met de tool wil OpenAI een bekend probleem in applicatiebeveiliging aanpakken, namelijk het grote aantal meldingen met beperkte impact dat securityteams eerst handmatig moeten beoordelen. Anthropic lanceerde eind februari een vergelijkbare tool, namelijk Claude Code Security.
Ontwikkelaars kunnen Codex Security gebruiken door de tool toegang te geven tot een repository die moet worden gescand. Volgens OpenAI maakt het systeem daarbij een tijdelijke kopie van de code in een geïsoleerde container waarin de analyse wordt uitgevoerd. Die analyse kan in sommige gevallen meerdere dagen duren, afhankelijk van de omvang van de codebase.
Het systeem bouwt vervolgens een dreigingsmodel dat specifiek is voor het project. Dat model bestaat uit een uitgebreide beschrijving in natuurlijke taal van hoe een applicatie werkt en waar mogelijke aanvalspunten liggen. Het model kan bijvoorbeeld componenten identificeren waar gebruikers gegevens kunnen uploaden of andere interacties hebben met het systeem.
Zulke onderdelen vormen vaak een potentieel risico omdat ze input van buiten het systeem verwerken. Ontwikkelteams kunnen het dreigingsmodel aanpassen om extra context toe te voegen of om bepaalde onderdelen van de applicatie prioriteit te geven tijdens de analyse.
Dreigingsmodel stuurt kwetsbaarheidsscans
Met behulp van dit dreigingsmodel zoekt Codex Security naar mogelijke kwetsbaarheden. Gevonden problemen worden getest in een gesandboxte omgeving om te bepalen of ze daadwerkelijk kunnen worden misbruikt. Op basis van deze tests filtert het systeem fout-positieven en rangschikt het de resterende kwetsbaarheden op ernst.
Het systeem houdt ook logbestanden bij van problemen die de sandbox-test niet doorstaan. Ontwikkelaars kunnen deze logs later gebruiken om mogelijke kwetsbaarheden te onderzoeken die per ongeluk als fout-positief zijn aangemerkt.
Wanneer een kwetsbaarheid wordt bevestigd genereert Codex Security een voorstel voor een oplossing. Dat voorstel bevat zowel de code die nodig is om het probleem te verhelpen als een uitleg in natuurlijke taal.
Volgens OpenAI heeft de technologie tijdens de bètafase al een aantal concrete beveiligingsproblemen aan het licht gebracht, waaronder een kwetsbaarheid voor server side request forgery en een kritische authenticatiefout tussen verschillende tenants. Tijdens interne tests konden deze problemen snel worden opgelost nadat ze waren ontdekt.
Ontwikkeling begon als interne securitytool
De technologie begon oorspronkelijk als een interne tool onder de naam Aardvark, waarmee OpenAI zijn eigen code analyseerde. Later volgde een beperkte bèta met externe klanten. Tijdens die testfase wist het bedrijf volgens eigen cijfers het aantal fout-positieven met meer dan de helft terug te brengen.
In de afgelopen maand analyseerde Codex Security meer dan 1,2 miljoen commits in externe repositories. Daarbij werden honderden kritieke kwetsbaarheden en meer dan tienduizend problemen met een hoge ernst geïdentificeerd. Kritieke problemen kwamen volgens OpenAI voor in minder dan 0,1 procent van de gescande commits.
SiliconANGLE voegt toe dat de tool ook kwetsbaarheden heeft gevonden die ernstig genoeg waren om te worden opgenomen in de CVE-database. In totaal zijn voor veertien ontdekte problemen CVE-nummers toegekend.
Om het open source-ecosysteem verder te ondersteunen start OpenAI daarnaast een programma waarbij maintainers toegang krijgen tot ChatGPT Pro of Plus en tot Codex Security. De bedoeling is dat ontwikkelaars de tool kunnen gebruiken als onderdeel van hun normale code-reviewproces.
Codex Security wordt voorlopig uitgerold als research preview voor klanten van ChatGPT Enterprise, Business en Edu via de Codex-webinterface. Volgens OpenAI verzamelt het bedrijf in deze fase feedback van gebruikers om de technologie verder te verbeteren.