Aardvark: الباحث الأمني الذكي من OpenAI

اليوم نعلن عن Aardvark، باحث أمني ذكي يعتمد على الوكلاء الذكيين ويعمل بقدرات GPT‑5.

يُعتبر أمن البرمجيات أحد أهم المجالات - وأكثرها تحدياً - في التكنولوجيا. ففي كل عام، يتم اكتشاف عشرات الآلاف من الثغرات الأمنية الجديدة في قواعد الشفرات البرمجية للمؤسسات والشفرات مفتوحة المصدر. ويواجه المتخصصون في الحماية تحديًا كبيرًا في تحديد هذه الثغرات وإصلاحها قبل أن يتمكن المهاجمون من استغلالها. في OpenAI، نعمل على تغيير هذا التوازن لصالح المدافعين.

يمثل Aardvark إنجازًا نوعيًا في أبحاث الذكاء الاصطناعي والأمن السيبراني، إذ يعمل كوكيلٍ مستقل يساعد المطورين وفِرق الأمان على اكتشاف الثغرات الأمنية في البرمجيات وإصلاحها على نطاقٍ واسع. وهو متاح حاليًا في نسخة تجريبية خاصة بهدف اختبار قدراته وتحسين أدائه في بيئات العمل الواقعية.

يُحلِّل Aardvark باستمرار مستودعات الشفرة المصدرية لاكتشاف الثغرات، وتقييم إمكانية استغلالها، وتحديد أولوياتها، واقتراح التصحيحات المناسبة لمعالجتها.

يعمل Aardvark من خلال مراقبة عمليات الالتزام والتغييرات في قواعد الشيفرة، لتحديد الثغرات المحتملة وطرق استغلالها واقتراح الحلول المناسبة. ولا يعتمد على تقنيات التحليل التقليدية مثل fuzzing أو تحليل مكونات البرمجيات، بل يستخدم آليات تفكير مدعومة بنماذج لغوية كبيرة (LLM) وأدوات تحليل ذكية لفهم سلوك الشيفرة واكتشاف الثغرات. يبحث Aardvark عن الأخطاء كما يفعل الباحث الأمني البشري — بقراءة الشيفرة، وتحليلها، وكتابة الاختبارات وتشغيلها، واستخدام الأدوات المتخصصة، والمزيد.

يعتمد Aardvark على منظومة عمل متعددة المراحل لتحديد الثغرات الأمنية وشرحها ومعالجتها، وتشمل الخطوات التالية:

• التحليل: يبدأ Aardvark بتحليل المستودع البرمجي بالكامل لإنشاء نموذج للتهديدات يعكس فهمه لأهداف المشروع الأمنية وتصميمه.
• فحص الالتزامات: يقوم Aardvark بالبحث عن الثغرات من خلال فحص التغييرات على مستوى الالتزامات ومقارنتها بالمستودع الكامل ونموذج التهديد كلما أضيف كود جديد. عند ربط مستودع جديد للمرة الأولى، يُجري Aardvark فحصًا لتاريخه لتحديد المشكلات السابقة. كما يشرح الثغرات المكتشفة خطوة بخطوة مع تعليقات توضيحية على الكود لتسهيل المراجعة البشرية.
• التحقق: بعد تحديد ثغرة محتملة، يحاول Aardvark تفعيلها داخل بيئة معزولة ومحمية (sandbox) للتحقق من إمكانية استغلالها. ويقدّم شرحًا للإجراءات المتبعة لضمان دقة النتائج وجودتها وتقليل نسبة الإيجابيات الخاطئة قبل عرضها على المستخدمين.
• التصحيح: يتكامل Aardvark مع OpenAI Codex للمساعدة في إصلاح الثغرات المكتشفة، حيث يربط كل ثغرة برقعة تصحيح يتم إنشاؤها بواسطة Codex وAardvark معًا، لتسهيل المراجعة البشرية وتنفيذ التصحيح بنقرة واحدة.

يعمل Aardvark جنبًا إلى جنب مع المهندسين، ويتكامل مع GitHub وCodex وسير العمل البرمجي القائم لتقديم رؤى دقيقة وقابلة للتنفيذ دون التأثير على سرعة التطوير. ورغم أن Aardvark صُمم في الأساس للأمن السيبراني، فقد أظهرت اختباراتنا أنه قادر أيضًا على اكتشاف أنواع أخرى من الأخطاء، مثل العيوب المنطقية والإصلاحات غير المكتملة ومشكلات الخصوصية.

يعمل Aardvark منذ عدة أشهر بشكل متواصل عبر مستودعات OpenAI الداخلية وبعض الشركاء الخارجيين في المرحلة الألفا. وقد ساهم في الكشف عن ثغرات مؤثرة وعزز من قدرات OpenAI الدفاعية. وأشاد الشركاء بعمق تحليله، إذ تمكن من اكتشاف ثغرات لا تظهر إلا في ظروف معقدة للغاية.

وفي اختبارات المقارنة على ما يُعرف "بالمستودعات الذهبية"، تمكن Aardvark من تحديد %92 من الثغرات المعروفة وتلك المُضافة بشكل اصطناعي، ما يؤكد قدرته العالية على الكشف وفعاليته في البيئات الواقعية.

تم تطبيق Aardvark أيضًا على مشاريع مفتوحة المصدر، حيث اكتشف عددًا من الثغرات الأمنية التي قمنا بالإفصاح عنها بمسؤولية، وقد حصلت عشر منها على معرفات Common Vulnerabilities and Exposures (CVE) (الثغرات والتعرضات الشائعة).

وبصفتنا مستفيدين من عقودٍ من الأبحاث المفتوحة والممارسات المسؤولة في الإفصاح، نلتزم برد الجميل من خلال تقديم أدوات ورؤى تُسهم في جعل النظام الرقمي أكثر أمانًا للجميع. نخطط لتوفير خدمة فحص مجانية لبعض المستودعات مفتوحة المصدر غير التجارية، دعمًا لأمن منظومة البرمجيات مفتوحة المصدر وسلسلة التوريد الخاصة بها.

لقد قمنا مؤخراً بتحديث⁠ سياسة الإفصاح المنسق الخارجي⁠ الخاصة بنا التي تركز على التعاون وسهولة التعامل من منظور المطورين، بعيدًا عن الجداول الزمنية الصارمة التي قد تُقيّد العمل. نتوقع أن تُسهم أدوات مثل Aardvark في اكتشاف عدد متزايد من الثغرات البرمجية، ونسعى للتعاون المستدام بما يعزز المرونة على المدى الطويل.

أصبحت البرمجيات اليوم العمود الفقري لكل الصناعات، مما يجعل الثغرات البرمجية خطرًا منهجيًا يهدد الشركات والبنى التحتية والمجتمعات. فقد تم الإبلاغ عن أكثر من 40,000 ثغرة CVE خلال عام 2024 وحده. وتُظهر اختباراتنا أن نحو 1.2% من عمليات الالتزام تُدخل أخطاء جديدة — تغييرات صغيرة قد تؤدي إلى آثار كبيرة.

يمثل Aardvark نموذجًا جديدًا يُركّز على المدافعين أولًا، إذ يعمل كباحث أمني يعتمد على الوكلاء الذكيين ويتعاون مع الفرق لتقديم حماية مستمرة أثناء تطور الكود البرمجي. ومن خلال اكتشاف الثغرات مبكرًا، والتحقق من إمكانية استغلالها في الواقع، وتقديم إصلاحات دقيقة، يمكن لـ Aardvark تعزيز الأمن دون إبطاء وتيرة الابتكار. نؤمن بأهمية توسيع الوصول إلى الخبرات الأمنية، ونبدأ الآن بنسخة تجريبية خاصة (Private Beta) على أن نوسع نطاق الإتاحة تدريجيًا مع تقدم التجارب.

ندعو شركاء مختارين للانضمام إلى النسخة التجريبية الخاصة من Aardvark. سيتمكّن المشاركون من الوصول المبكر والتعاون مباشرة مع فريقنا لتحسين دقة الكشف، وتطوير سير عمل التحقق، وتجربة إعداد التقارير.

نسعى إلى تقييم الأداء في بيئات مختلفة. وإذا كانت مؤسستك أو مشروعك مفتوح المصدر مهتمًا بالمشاركة، فيمكنك التقديم هنا⁠.