OpenAI Codex Security 扫描 120 万次代码提交,发现 10561 个高严重级漏洞
HackerNews 编译,转载请注明出处: OpenAI 于上周五开始推出 Codex Security—— 这是一款由人工智能(AI)驱动的安全代理工具,旨在发现漏洞、验证漏洞有效性并提出修复方案。 该功能目前处于研究预览阶段,ChatGPT Pro、企业版、商业版和教育版用户可通过 Codex 网页端使用,未来一个月内可免费调用。 “该工具会深入构建你的项目上下文信息,以识别其他智能代理工具遗漏的复杂漏洞;它能呈现可信度更高的检测结果,并提供可切实提升系统安全性的修复方案,同时避免无关紧要的小漏洞带来的干扰。” 该公司表示。 Codex Security 是 Aardvark 工具的升级版本 ——OpenAI 曾在 2025 年 10 月推出 Aardvark 私有测试版,旨在帮助开发者和安全团队大规模检测并修复安全漏洞。 在过去 30 天的测试阶段中,Codex Security 扫描了外部代码仓库中超过 120 万次代码提交,识别出 792 个关键级漏洞和 10561 个高严重级漏洞。这些漏洞涉及多个开源项目,包括 OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP 和 Chromium 等。其中部分漏洞如下所列: · GnuPG – CVE-2026-24881、CVE-2026-24882 · GnuTLS – CVE-2025-32988、CVE-2025-32989 · GOGS – CVE-2025-64175、CVE-2026-25242 · Thorium – CVE-2025-35430、CVE-2025-35431、CVE-2025-35432、CVE-2025-35433、CVE-2025-35434、CVE-2025-35435、CVE-2025-35436 据这家 AI 公司介绍,这款应用安全代理的最新版本利用其前沿模型的推理能力,并结合自动化验证机制,最大限度降低误报风险,同时提供可落地执行的修复方案。 OpenAI 对同一批代码仓库的持续扫描数据显示,该工具的检测精准度不断提升,误报率持续下降 —— 所有仓库的误报率降幅均超过 50%。 在向 The Hacker News 提供的声明中,OpenAI 表示,Codex Security 旨在通过以下方式提升有效信息占比:将漏洞发现过程锚定在系统上下文环境中,并在向用户呈现检测结果前先验证其有效性。 具体而言,该代理工具的工作流程分为三步:分析代码仓库,掌握项目中与安全相关的系统结构,并生成可编辑的威胁模型,明确系统功能及最易受攻击的环节;构建完系统上下文后,Codex Security 以此为基础识别漏洞,并根据漏洞的实际影响程度对检测结果进行分类,同时在沙箱环境中对标记的漏洞进行压力测试以验证其有效性;最终阶段,代理工具提出与系统行为最匹配的修复方案,以减少回归问题,同时让方案更易于审核和部署。 OpenAI 称:“当 Codex Security 配置为适配你项目的环境后,它可在运行中的系统上下文里直接验证潜在漏洞。这种更深度的验证能进一步降低误报率,并支持生成可运行的概念验证(PoC),为安全团队提供更充分的证据和更清晰的修复路径。” Codex Security 发布的数周前,Anthropic 刚推出 Claude Code Security 工具,该工具可帮助用户扫描软件代码库中的漏洞并提出补丁建议。 消息来源:thehackernews.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
又一个红队工具黑化,MacroPack 沦为黑客利器
本用于红队演练的MacroPack框架,如今正被恶意攻击者滥用,利用其强大的反检测功能来投放恶意负载(包括Havoc、Brute Ratel和PhantomCore等)。据思科Talos安全研究人员分析,MacroPack正被多个国家的威胁者用于发动攻击,涉及来自美国、俄罗斯、中国、巴基斯坦等国家的大量恶意文档。 MacroPack:从安全工具到网络威胁 MacroPack最初由法国开发者Emeric Nasi设计,旨在为红队提供演练和模拟对手行为的工具。其功能包括绕过反恶意软件检测、反逆向技术、代码混淆以及将恶意脚本嵌入文档的能力。 然而,这一框架现已成为攻击者的利器,通过文档加载恶意代码。 思科Talos报告指出,他们在野外捕获了大量使用MacroPack生成的恶意文档。这些文档具有明显的特征,比如基于Markov链的函数和变量重命名、删除注释与多余的空格字符等,旨在降低静态分析检测的成功率。此外,MacroPack Pro版本会在文档中添加特定的VBA子程序,这是攻击者使用该工具的“指纹”。 全球四大攻击集群 思科Talos团队根据地理位置和攻击模式,归纳出滥用MacroPack的四大攻击集群(源头): 中国:来自中国和巴基斯坦IP地址的恶意文档(2024年5月至7月)指示用户启用宏功能,并传送Havoc和Brute Ratel负载。这些负载与位于中国河南的C2服务器(AS4837)通信。 巴基斯坦:具有巴基斯坦军方主题的文档,上传自巴基斯坦,伪装成巴基斯坦空军的公告或就业确认文档,部署了Brute Ratel恶意软件。攻击者通过DNS over HTTPS和Amazon CloudFront通信,其中一份文档还嵌入了用于Adobe Experience Cloud追踪的Base64编码数据。 俄罗斯:2024年7月,从俄罗斯IP地址上传的一份空白Excel工作簿部署了名为PhantomCore的Golang后门,用于间谍活动。文档包含多阶段VBA代码,试图从远程URL下载后门程序。 美国:2023年3月上传的一份文件伪装为加密的NMLS续签表单,使用了Markov链生成的函数名以逃避检测。文档包含的多阶段VBA代码,在尝试下载未知负载前会检查沙箱环境。 总结:红队工具黑化新趋势 MacroPack的滥用标志着一种新趋势,黑客正越来越多地利用原本用于安全演练的工具发起攻击。尽管MacroPack本身并非恶意软件,但其强大的混淆和反检测能力使其成为网络犯罪分子的利器,未来可能会出现更多此类工具被滥用的案例。 此外,MacroPack框架的滥用表明,黑客正在不断升级他们的工具库,结合先进的反检测技术和社交工程攻击。这一趋势需要全球安全团队加强对文档恶意软件的检测和防御,特别是在处理宏功能和复杂混淆代码的文档时保持高度警惕。 转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/i8admdYWgZuVD4bU–weeA 封面来源于网络,如有侵权请联系删除。
五角大楼使用创企研发的 Mayhem 工具搜索软件 Bug
据《连线》(Wired)杂志报道,去年年底,互联网基础设施公司Cloudflare的安全工程师David Haynes发现自己正盯着一张奇怪的图像。“那纯粹是胡言乱语,”他说。“一大堆灰黑色的像素,由机器制造出来的。”他拒绝分享图片,称这将是一个安全风险。Haynes的谨慎是可以理解的。这张图片是由一个名为Mayhem的工具创建的,该工具可以探测软件以发现未知的安全漏洞,由卡内基梅隆大学的衍生创企ForAllSecure制作。 Haynes一直在Cloudflare软件上进行测试,该软件可以调整图片的大小以加快网站的速度,并向它提供了几张照片样本。Mayhem将它们变异成了一些不正常的的图片,通过触发一个不被注意到的bug,使照片处理软件崩溃,这个漏洞可能会给付费给Cloudflare以保持网站正常运行的客户带来问题。 此后,Cloudflare将Mayhem作为其安全工具的标准配置。美国空军、海军和陆军也使用了它。上个月,五角大楼授予ForAllSecure一份4500万美元的合同,让Mayhem在整个美军中推广使用。该部门有大量的Bug可供查找。2018年的一份政府报告发现,国防部在2012年至2017年期间测试的几乎所有武器系统都存在严重的软件漏洞。 Mayhem还不够精密,不足以完全取代人类漏洞查找员的工作,他们利用软件设计知识、代码阅读技巧、创造力和直觉来寻找漏洞。但ForAllSecure联合创始人兼CEO David Brumley表示,该工具可以帮助人类专家完成更多的工作。世界上的软件有更多的安全漏洞,专家们没有时间去发现,而每分钟都有更多的漏洞出现。“安全并不在于是否安全或不安全,而在于你的行动速度有多快。”Brumley说。 Mayhem起源于2016年在拉斯维加斯一家赌场举行的一场不寻常的黑客大赛。数以百计的人到场观看由五角大楼的研究机构Darpa主办的网络大挑战赛。但舞台上没有一个人,只有七台电脑服务器。每台服务器上都有一个机器人,它试图发现并利用其他服务器的漏洞,同时也发现并修补自己的漏洞。8个小时后,由Brumley所带领的卡内基梅隆大学安全实验室团队制作的 “Mayhem “获得了200万美元的最高奖项。 目前仍是卡内基梅隆大学教授的Brumley说,这段经历让他相信,他的实验室创造的东西在现实世界中可以派上用场。他抛开了团队的机器人的进攻能力,认为防御更重要,并着手将其商业化。“网络安全挑战赛( Cyber Grand Challenge)表明,完全自主安全是可能的。”他说。“计算机可以做得相当不错。” 以色列等国政府都提出了合同,但ForAllSecure与美国政府签约。它得到了国防创新部门的合同,这是五角大楼的一个小组,试图将新技术快速引入美军。ForAllSecure受到了挑战,通过寻找美军使用的军用变体商用客机的控制软件中的漏洞来证明Mayhem的能力。在几分钟内,这个自动黑客就发现了一个漏洞,该漏洞随后被飞机制造商验证并修复了。 Mayhem发现的其他漏洞还包括今年早些时候在数百万台网络设备中使用的OpenWRT软件中发现的一个漏洞。去年秋天,该公司的两名实习生从Netflix的漏洞赏金计划中获得了一笔奖金,因为他们利用Mayhem发现了软件中的一个漏洞,该软件可以让人们将视频从手机发送到电视上。 Brumley表示,汽车和航空航天公司对这个工具的兴趣特别浓厚。汽车和飞机对软件的依赖性越来越强,而这些软件需要多年的可靠运行,而且很少更新。 Mayhem只针对基于Linux操作系统的程序,发现漏洞的方式有两种,一种是随机的,另一种更有针对性。第一种称为模糊测试,它涉及到用随机生成的输入(如命令或照片)轰炸目标软件,并观察是否有触发可利用的漏洞。第二种被称为符号执行,涉及到创建一个目标软件的简化数学表示。可以对这个被简化的替身进行分析,以确定真实目标中的潜在弱点。 近几年来,模糊测试工具在计算机安全领域的应用越来越广泛。去年,谷歌发布了一个模糊测试工具,并表示已经在其Chrome浏览器中发现了16000多个Bug。但Cloudflare公司的Haynes表示,该技术在行业内仍未得到普遍使用,因为模糊测试工具通常需要对每个目标程序进行太多仔细的调整。他说,ForAllSecure精心打造的Mayhem更具适应性,让Cloudflare可以更常规地使用模糊测试。Haynes说,符号执行可以找到更复杂的Bug,之前主要是在研究实验室中使用。 亚利桑那州立大学教授Ruoyu Wang希望Mayhem只是计算机安全领域更自动化的未来的开始,但他说,这将需要bug查找机器人与人类进行更多的合作。 Mayhem表明,自动化可以做有用的工作,Wang说,但现有的自动寻找漏洞的机器人在复杂的互联网服务或软件包中不能起到多大的作用。最好的软件还远远不能像人类那样聪明到理解程序的意图和功能。Mayhem比任何人类更快地尝试很多不同的东西的能力都无法替代。“很多自动查找漏洞的难点问题,现在还远远没有解决。”Wang说。 Wang曾是一个名为Mechanical Phish的团队的一员,该团队在2016年Darpa锦标赛上获得了第三名。他现在正在从事该机构的一个名为CHESS的新研究项目,试图制造出更强大的Bug查找软件。“现在,最先进的自动化不知道什么时候会遇到障碍,”Wang说。“它应该意识到这一点,并向人类咨询。” (稿源:cnBeta,封面源自网络。)
谷歌为 G Suite 用户引入一系列新的安全工具
谷歌的在线生产力和协作平台G Suite迎来了一系列安全更新。本轮更新重点增强了公司数据的保护,既包括控制用户的访问权限,还可以通过提供新的工具来防止网络钓鱼和恶意软件攻击。今天谷歌发布了高级网络钓鱼和恶意软件保护Beta版本,旨在帮助管理员保护用户免受恶意附件和电子邮件欺骗等因素的影响。 其中最有趣的功能就是全新的安全沙盒,这是面向G Suite企业用户的另一项测试版功能。在对附件进行已知病毒和恶意软件的扫描之外,该沙盒还可以额外添加一层保护层。附件扫描无法完全保护您免受零日勒索软件或复杂恶意软件的侵害。因此在沙箱环境中执行附件,以检查是否存在任何安全问题。 此外在今天的更新中,谷歌还面向管理员推出了全新的安全和警报中心测试版。这些工具目的是创建一个包含最佳实践建议的统一服务,集成通知中心和相关工具,并且对威胁进行分类和采取措施,所有这些工作都侧重于管理员之间的协作。另外还有一个新的安全调查工具,主要侧重于允许管理员创建自动工作流以发送通知或将所有权分配给安全调查。 (稿源:cnBeta,封面源自网络。)