Codex Security

Codex Security, l'agent IA pour la sécurité du code en avant-première expérimentale

ParSteven de Simseo

OpenAI a annoncé la disponibilité en avant-première expérimentale de Codex Security, un agent d'intelligence artificielle dédié à la sécurité des applications. L'outil est conçu pour analyser en profondeur le contexte d'un projet logiciel et identifier les vulnérabilités complexes qui échappent souvent aux outils de sécurité automatisés traditionnels.

Contrairement à de nombreuses solutions basées sur l'IA, qui produisent de nombreux faux positifs ou rapports non pertinents, Codex Security vise à fournir des résultats fiables accompagnés de correctifs pratiques. L’objectif est d’améliorer concrètement la sécurité du système et de réduire le temps passé par les équipes à trier les bugs.

Le problème du « bruit » dans la sécurité des logiciels

Selon OpenAI, l’une des principales limites des outils de sécurité basés sur l’IA est la difficulté d’évaluer le risque réel des vulnérabilités signalées. Sans contexte adéquat, de nombreux systèmes génèrent de grandes quantités de résultats à faible impact, obligeant les spécialistes de la sécurité à effectuer de longs efforts de vérification.

Parallèlement, l’utilisation croissante d’agents d’IA dans le développement de logiciels accélère la production de code, transformant l’examen de sécurité en un goulot d’étranglement potentiel. Codex Security a été créé précisément pour répondre à ces deux enjeux : améliorer la précision des analyses et accélérer le processus de correction.

De la bêta privée à la disponibilité client

Anciennement connu sous le nom d'Aardvark, le système a été lancé l'année dernière en version bêta privée avec un nombre limité de clients. Lors des premiers déploiements internes, l'agent a identifié plusieurs vulnérabilités réelles, notamment un SSRF et un problème d'authentification critique. locataire croisérésolu par l'équipe de sécurité en quelques heures.

La phase bêta nous a également permis d’améliorer significativement la qualité des résultats. Dans certains référentiels, le signalement du « bruit » a été réduit de 84 % par rapport au lancement initial. Dans le même temps, le taux de vulnérabilités dont la gravité est surestimée a diminué de plus de 90 % et les faux positifs ont été réduits de plus de 50 %.

Ces améliorations ont permis de mieux aligner les rapports sur les risques réels, allégeant ainsi la charge de travail des équipes de sécurité.

Comment fonctionne la sécurité du Codex

Codex Security exploite les modèles d'IA avancés d'OpenAI et l'agent Codex pour connecter la découverte, la validation et l'application de correctifs de vulnérabilités.

Création de contexte et modélisation des menaces

Après avoir configuré une analyse, l'agent analyse le référentiel du projet pour comprendre la structure du système et générer un modèle de menace spécifique. Ce modèle décrit le fonctionnement de l'application, les composants auxquels elle fait confiance et les domaines les plus exposés aux risques. Le document peut être modifié par les développeurs pour que l'analyse reste alignée sur l'architecture réelle.

Identification et validation des vulnérabilités

En utilisant le modèle de menace comme référence, Codex Security recherche les vulnérabilités et les hiérarchise en fonction de leur impact sur le système. Dans la mesure du possible, testez les résultats dans des environnements isolés (bacs à sable) pour faire la distinction entre les problèmes réels et les rapports non pertinents. Avec des configurations avancées, il peut valider les vulnérabilités directement dans le contexte du système en cours d'exécution.

Correction guidée du problème

Une fois la vulnérabilité identifiée, l'agent propose des correctifs cohérents avec le comportement du système. Cette approche réduit le risque de régression et facilite la révision et l'intégration des correctifs dans le code.

Le système apprend également des commentaires des utilisateurs au fil du temps. Lorsqu'une équipe modifie la criticité d'un rapport, l'agent utilise ces informations pour améliorer les analyses ultérieures.

Analyse à grande échelle

Codex Security est conçu pour fonctionner sur de grands volumes de code. Au cours des trente derniers jours, il a analysé plus de 1,2 million de commits dans des référentiels externes appartenant à la cohorte bêta.

Au cours de ces analyses, 792 découvertes critiques et 10 561 vulnérabilités de haute gravité ont été identifiées. Les problèmes les plus critiques sont apparus dans moins de 0,1 % des commits analysés, démontrant la capacité du système à identifier les vulnérabilités pertinentes tout en minimisant le bruit dans les revues.

La contribution à la sécurité open source

OpenAI a également utilisé Codex Security pour analyser de nombreux référentiels open source dont dépendent de nombreux systèmes modernes. Les résultats les plus importants ont été partagés directement avec les responsables du projet.

Au cours de ces collaborations, un problème récurrent est apparu : les développeurs open source reçoivent souvent trop de rapports de vulnérabilités, dont beaucoup sont de mauvaise qualité. Codex Security a donc été conçu pour privilégier quelques rapports très fiables, facilitant des interventions rapides sans augmenter la charge de travail.

Au cours de l'analyse, des vulnérabilités critiques ont été signalées dans plusieurs projets largement utilisés, notamment OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP et Chromium. Au total, quatorze CVE ont été attribués.

Le programme Codex pour les logiciels libres

Pour renforcer le soutien à la communauté open source, OpenAI a lancé le programme Codex for OSS, qui offre aux responsables des comptes ChatGPT Pro et Plus gratuits, des outils de révision de code et un accès à Codex Security.

Certains projets, comme vLLM, ont déjà commencé à utiliser l'agent dans leurs flux de travail habituels pour rechercher et corriger les vulnérabilités.

OpenAI prévoit d'étendre le programme dans les semaines à venir pour permettre à davantage de développeurs d'accéder aux outils de sécurité.

Disponibilité et accès

Codex Security sera distribué aux clients ChatGPT Enterprise, Business et Edu via la plateforme Web Codex. L'utilisation sera gratuite pendant le premier mois.

L'entreprise a annoncé que l'accès sera progressivement étendu dans les prochains jours et invite les équipes intéressées à consulter la documentation officielle pour configurer le système au sein de leurs projets.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.