Codex Security جاءت: فحص التقديمات بشكل تدريجي، التحقق من الصندوق الرملي، إصدار تصحيحات مباشرة عبر طلب سحب (PR)

العنوان

أوبن إيه آي تطلق Codex Security، تبحث عن الثغرات في مستودعات GitHub، وتقوم بإصلاحها

الملخص

• كيف يعمل الأداة:
  • يقوم بمسح مستودعات GitHub المتصلة بشكل فردي لكل commit
  • يبني نموذج تهديدات قابل للتعديل، ويجمع السياق الخاص بالمشروع للتقييم
  • يقوم بتشغيل الثغرات المشتبه بها في صندوق رمل معزول، ويؤكد أنها حقيقية قبل إصدار الإنذارات، مما يقلل من عدد الإنذارات الكاذبة
  • يفتح مباشرة Pull Request مع اقتراحات الإصلاح، ويتكامل مع عمليات CI ومراجعة الكود الحالية
• الخلفية:
  • الاسم الرمزي للمشروع داخليًا هو Aardvark، بدأ الاختبار الخاص في نهاية عام 2025
  • يغطي الاختبار الخاص مشاريع مفتوحة المصدر مثل Chromium وPHP وGnuTLS
• البيانات:
  • تم فحص حوالي 1.2 مليون commit، وتم تحديد 792 مشكلة خطيرة، و10,561 مشكلة عالية الخطورة
  • تقول الشركة الرسمية إن الإنذارات الكاذبة أقل بنسبة 50% مقارنة بأجهزة المسح التقليدية
• التوافق:
  • يدعم لغات متعددة، ويمكن استخدامه مع أجهزة المسح الأمنية الحالية، وليس بديلاً عنها

التحليل

الفكرة الأساسية: استخدام “السياق الخاص بالمشروع + التحقق في صندوق الرمل” لتقليل الإنذارات الكاذبة، وتحريك مرحلة الإصلاح إلى مستوى PR، والهدف هو التعاون مع أجهزة المسح الثابتة التقليدية وليس استبدالها.

• ما الفرق مع التحليل الثابت التقليدي:
  1. النظر في السياق الخاص بالمشروع: يجمع بين وضع المشروع المحدد ونموذج التهديدات القابل للتعديل، وليس فقط تطبيق قواعد عامة
  2. تحقق أولاً ثم أبلغ: يتم إعادة إنتاج المشاكل تلقائيًا في صندوق الرمل المعزول، ويتم تصفية الإنذارات الكاذبة قبل إصدار قائمة المشاكل
  3. مباشرةً تقديم التصحيحات: يتم تسليم كود الإصلاح في شكل Pull Request، مما يوفر الوقت بين “الاكتشاف - التحديد - الإصلاح”
• المنافسة:
  • أصدرت Anthropic للتو Claude Code Security، ودخلت مختبرات رائدة في “حراسة الذكاء الاصطناعي” في نفس الوقت، من مساعدتك في كتابة الكود إلى مساعدتك في الحفاظ على أمان الكود
• النقاط غير المؤكدة:
  • لا يزال من الضروري مراقبة مدى استعداد الشركات للسماح للذكاء الاصطناعي بالتعامل مع العمليات الحساسة للأمان. لكن من زاوية أخرى: الكود الذي يكتبه الذكاء الاصطناعي يجلب مخاطر جديدة، مما يجعل من الذكاء الاصطناعي مسؤولاً عن التدقيق والإصلاح في الوقت نفسه، مما يعتبر نوعًا من التحوط

مقارنة الآليات

تقييم التأثير

• الأهمية: عالية
  • الفئة: إصدار منتج، أدوات للمطورين، أمان الذكاء الاصطناعي
• بالنسبة للمطورين والفرق:
  • دمج التحقق والإصلاح ضمن عملية مراجعة الكود قد يقصر من دورة الإصلاح
  • يدعم لغات متعددة، ويمكن استخدامه بالتوازي مع الأدوات الحالية، مما يسهل التجربة التدريجية
• بالنسبة لفريق الأمان:
  • إذا تم تقليل الإنذارات الكاذبة بنسبة تزيد عن 50%، يمكن توفير الكثير من الجهد التحليلي، والتركيز على المشاكل الأكثر أهمية
• بالنسبة للصناعة:
  • تزايد كتابة الكود بواسطة الذكاء الاصطناعي، و"الذكاء الاصطناعي يراجع الذكاء الاصطناعي" أصبح طلباً واقعياً

الخلاصة: الفرق التي ترغب في إنشاء حلقة مغلقة من “توليد الذكاء الاصطناعي - تدقيق الذكاء الاصطناعي - إصلاح الذكاء الاصطناعي” في أقرب وقت ممكن يمكنها التركيز على هذه الأداة؛ والأكثر صلة هي فرق الهندسة، وبناة الأمان، وصناديق الاستثمار في أدوات المطورين. أما المشاركون الذين يركزون على التداول قصير الأجل فلن تكون لهم علاقة كبيرة.