أعلنت شركة OpenAI عن بدء طرح أداة جديدة تحمل اسم Codex Security، وهي وكيل أمني مدعوم بالذكاء الاصطناعي مصمم لاكتشاف الثغرات الأمنية والتحقق منها واقتراح حلول لإصلاحها. الأداة متاحة حالياً في نسخة بحثية تجريبية لمستخدمي ChatGPT Pro و Enterprise و Business و Edu عبر منصة Codex على الويب، مع إتاحة الاستخدام المجاني لمدة شهر.
خلفية تطوير الأداة
يمثل Codex Security تطوراً لأداة Aardvark التي كشفت عنها الشركة في نسخة تجريبية خاصة في أكتوبر 2025، والتي هدفت إلى مساعدة المطورين وفرق الأمن في اكتشاف الثغرات على نطاق واسع. الجديد في Codex Security أنه لا يكتفي بالكشف عن الثغرات، بل يبني سياقاً عميقاً حول المشروع لفهم بنيته الأمنية، مما يتيح له تحديد الثغرات المعقدة التي قد تفوت على الأدوات التقليدية.
نتائج الفحص الأولية
خلال فترة تجريبية امتدت 30 يوماً، قام Codex Security بفحص أكثر من 1.2 مليون عملية إدخال (commits) في مستودعات خارجية، وكشف عن 792 ثغرة حرجة و 10,561 ثغرة عالية الخطورة. تضمنت هذه الثغرات مشروعات مفتوحة المصدر بارزة مثل OpenSSH و GnuTLS و GOGS و Thorium و libssh و PHP و Chromium.
ومن بين الثغرات التي تم توثيقها:
- GnuPG: CVE-2026-24881, CVE-2026-24882
- GnuTLS: CVE-2025-32988, CVE-2025-32989
- GOGS: CVE-2025-64175, CVE-2026-25242
- Thorium: سلسلة CVEs من CVE-2025-35430 حتى CVE-2025-35436
آلية عمل Codex Security
تعمل الأداة عبر ثلاث مراحل رئيسية:
- تحليل المستودع: لفهم البنية الأمنية للمشروع وإنشاء نموذج تهديد قابل للتحرير يحدد نقاط الضعف.
- اكتشاف الثغرات والتحقق منها: حيث يتم تصنيف النتائج وفقاً لتأثيرها الواقعي، ثم اختبارها في بيئة معزولة للتأكد من صحتها وتقليل الإنذارات الكاذبة.
- اقتراح الإصلاحات: يقدم الوكيل حلولاً متوافقة مع سلوك النظام لتقليل احتمالية حدوث مشاكل إضافية، مع تسهيل مراجعتها ونشرها.
تحسين الدقة وتقليل الإنذارات الكاذبة
أشارت الشركة إلى أن عمليات الفحص المتكررة أظهرت تحسناً ملحوظاً في الدقة وانخفاضاً في معدل الإنذارات الكاذبة بنسبة تجاوزت 50% عبر جميع المستودعات. كما أن دمج قدرات الاستدلال الخاصة بنماذج الذكاء الاصطناعي المتقدمة مع آليات التحقق الآلي ساعد على تقديم نتائج أكثر موثوقية وقابلة للتنفيذ.
