吳明宜OpenAI 日前公布進階應用安全代理程式 Codex Security,可自動化執行漏洞的發現及修補。目前 Beta 版 ChatGPT Pro 、 Enterprise 、 Business 和 Edu 方案用戶可透過 Code 試用。
Codex Security 原名 Aardvark,主要目標是透過結合該公司 AI 模型及自動化驗證,加速程式碼推出並降低驗證的雜訊,減少人員檢測造成的流程瓶頸。
內容驅動的威脅偵測
傳統 AI 工具常出現過多誤判及不必要的警訊,增加資安團隊的工作負擔。 Codex Security 的作法是先對程式庫 (repository) 進行深度分析,以了解其特定結構。接著產生該專案專屬的威脅模型,開始分析系統的用途、信任哪些對象或行為、哪裡最可能遭到攻擊。這能讓資安團隊精準配合實際系統弱點進行安全檢測。
根據分析結果,Codex Security 代理程式可搜尋漏洞並根據預期風險排序。為確保報告的信心度,Codex Security 會在沙盒環境中針對其發現進行壓力測試。這個深度驗證可進一步區隔出威脅及不相關的雜訊,甚至產出概念驗證 (POC) 攻擊程式。
最後,這項工具能自動加上針對系統行為專門製作的修補程式,修補漏洞的同時防止系統迴歸,加速實施防禦工作的作業時程。
目前 Codex Security 以 Beta 版提供研究預覽。即使是 Beta 版,Codex Security 也展現大為提升的精準度。掃描顯示整體雜訊減少 84%,風險層級誤判的機率降低 90%,而將無風險誤判為風險的比例則減少 50% 。
新系統還增加適應性學習,可配合資安團隊調整發現的風險嚴重性,持續改善其威脅模型。
OpenAI 表示自己也使用 Codex Security 來強化 Open Source 供應鏈的安全性。該公司並引述早期測試者的證言(例如 NETGEAR),證實 Codex Security 在企業環境的效果,形容它像是有經驗的產品資安研究人員,可與開發團隊在產品測試過程中緊密合作。
即日起,ChatGPT Pro 、 Enterprise 、 Business 和 Edu 方案用戶可透過 Code 的 Web 介面試用 Codex Security,首月可免費使用。
來源: GBHackers