Công cụ bảo mật ứng dụng mới của OpenAI, Codex Security, đã phát hiện hơn 11.000 lỗ hổng nghiêm trọng và nguy hiểm trong các mã nguồn thực tế chỉ trong 30 ngày thử nghiệm đầu tiên. Công cụ này, được thiết kế để tự động tìm, xác thực và sửa chữa các lỗ hổng trong kho phần mềm, được cho là đã xác định khoảng 800 vấn đề nghiêm trọng trong hơn một triệu lần quét mã nguồn.

Theo một bài đăng trên blog của OpenAI, công cụ này được thiết kế để hoạt động giống như một nhà nghiên cứu bảo mật, người nghiên cứu mã nguồn, lập bản đồ các đường tấn công tiềm năng và đề xuất các bản vá lỗi, hơn là một công cụ quét tĩnh. "Nó được thiết kế để hoạt động trên quy mô lớn và đưa ra những phát hiện có độ tin cậy cao nhất với các bản vá dễ chấp nhận", OpenAI cho biết.

Công cụ này xây dựng sự hiểu biết theo ngữ cảnh về toàn bộ dự án, cho phép nó tập trung vào các lỗ hổng có khả năng bị khai thác trên thực tế, giải quyết tình trạng mệt mỏi do cảnh báo quá nhiều mà các nhóm bảo mật ứng dụng thường gặp phải.

Những lỗi được phát hiện trong các dự án độc quyền và mã nguồn mở

Trong chu kỳ thử nghiệm đầu tiên, OpenAI cho biết Codex Security đã quét hơn 1,2 triệu lượt commit (ghi nhận lại trạng thái mã nguồn tại mỗi thời điểm, hỗ trợ lập trình viên dễ dàng theo dõi lịch sử dự án - PV) trên các kho lưu trữ bên ngoài, xác định được 792 lỗ hổng nghiêm trọng và 10.561 vấn đề có mức độ nghiêm trọng cao. Công ty cho biết các phát hiện này đến từ nhiều cơ sở mã thực tế khác nhau trong khi vẫn duy trì mức độ nhiễu tương đối thấp, vì các vấn đề nghiêm trọng chỉ xuất hiện trong dưới 0,1% số lượt commit được quét.

“Netgear rất vui mừng được tham gia chương trình truy cập sớm, và kết quả đã vượt quá mong đợi”, ông Chandan Nandakumaraiah, người đứng đầu bộ phận bảo mật sản phẩm tại Netgear, cho biết trong một bình luận được chia sẻ trong bài đăng. “Codex Security tích hợp dễ dàng vào môi trường phát triển bảo mật mạnh mẽ của chúng tôi, tăng cường tốc độ và chiều sâu của các quy trình đánh giá”.

Bên cạnh các kho lưu trữ độc quyền, các lỗ hổng cũng được phát hiện trong một số dự án mã nguồn mở được sử dụng rộng rãi, bao gồm OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP và Chromium, với tổng cộng 14 mã CVE đã được gán cho đến nay.

(ảnh minh họa)

OpenAI cho biết những nỗ lực này là một phần của sáng kiến ​​rộng lớn hơn mang tên “Codex for OSS”, cung cấp cho người duy trì dự án quyền truy cập miễn phí vào các công cụ của Codex và hỗ trợ đánh giá bảo mật. Công ty dự định mở rộng chương trình trong những tuần tới để đưa thêm nhiều người duy trì dự án mã nguồn mở vào hệ sinh thái.

Công ty này đã nêu bật mười ba lỗ hổng bảo mật mã nguồn mở (OSS) có tác động lớn được phát hiện bởi Codex Security, bao gồm các vấn đề về tấn công vượt quyền truy cập, từ chối dịch vụ (DoS) và bỏ qua xác thực.

Từ thí nghiệm 'Aardvark' đến nhà nghiên cứu an ninh AI

Codex Security được phát triển từ một dự án nội bộ trước đó có tên là Aardvark, một tác nhân nghiên cứu lỗ hổng bảo mật được hỗ trợ bởi trí tuệ nhân tạo mà OpenAI bắt đầu thử nghiệm với một số người dùng được chọn. Khái niệm đằng sau Aardvark là để tác nhân AI đọc mã, kiểm tra các đường dẫn khai thác khả thi và suy luận về cách kẻ tấn công có thể xâm nhập vào hệ thống.

Quy trình làm việc dựa trên tác nhân này cho phép hệ thống Codex Security mô phỏng cách các nhà nghiên cứu bảo mật con người hoạt động. Trí tuệ nhân tạo (AI) phân tích lịch sử kho lưu trữ, xây dựng mô hình mối đe dọa xác định các điểm xâm nhập và ranh giới tin cậy, sau đó khám phá các đường dẫn tấn công có thể dẫn đến các kết quả nhạy cảm.

Khi phát hiện ra lỗ hổng tiềm ẩn, hệ thống sẽ cố gắng tái tạo sự cố trong môi trường sand-box để xác nhận xem nó có thể bị khai thác hay không trước khi báo cáo. Sau khi xác thực, hệ thống sẽ tạo ra hướng dẫn khắc phục, thường ở dạng các bản vá được đề xuất mà các nhà phát triển có thể xem xét và tích hợp vào quy trình làm việc của họ.

Codex Security cũng có thể học hỏi từ phản hồi theo thời gian để cải thiện chất lượng các phát hiện của mình. “Khi bạn điều chỉnh mức độ nghiêm trọng của một phát hiện, nó có thể sử dụng phản hồi đó để tinh chỉnh mô hình mối đe dọa và cải thiện độ chính xác trong các lần chạy tiếp theo khi nó học hỏi những gì quan trọng trong kiến ​​trúc và tư thế rủi ro của bạn”, OpenAI cho biết thêm trong bài đăng.

Bắt đầu từ ngày 9 tháng 3, Codex Security có sẵn bản xem trước nghiên cứu cho khách hàng ChatGPT Pro, Enterprise, Business và Edu thông qua trang web của Codex với thời gian sử dụng miễn phí trong 30 ngày tiếp theo.

Xem thêm:

Đăng Khoa