Predstavljamo Aardvark: OpenAI agentički sigurnosni istraživač
Sada u privatnoj beta verziji: AI agent koji razmišlja kao istraživač sigurnosti i skalira se kako bi zadovoljio zahtjeve modernog softvera.
Danas objavljujemo Aardvark, agenta za sigurnosna istraživanja kojeg pokreće GPT‑5.
Sigurnost softvera je jedno od najkritičnijih—i najizazovnijih—područja u tehnologiji. Svake godine se otkriju deseci tisuća novih ranjivosti u kodnim bazama preduzeća i otvorenog koda. Branioci se suočavaju s izazovnim zadacima pronalaženja i popravljanja ranjivosti prije nego što to učine njihovi protivnici. U OpenAI-u radimo na tome da preokrenemo ravnotežu u korist branioca.
Aardvark predstavlja proboj u istraživanju vještačke inteligencije i sigurnosti: autonomnog agenta koji može pomoći developerima i sigurnosnim timovima da otkriju i otklone sigurnosne ranjivosti u velikom obimu. Aardvark je sada dostupan u privatnoj beta verziji kako bi se potvrdile i usavršile njegove sposobnosti na terenu.
Aardvark kontinuirano analizira repozitorije izvornog koda kako bi identificirao ranjivosti, procijenio mogućnost eksploatacije, prioritizirao ozbiljnost i predložio ciljane zakrpe.
Aardvark radi tako što prati izmjene i promjene u bazama koda, identificira ranjivosti, kako bi se one mogle iskoristiti, i predlaže popravke. Aardvark se ne oslanja na tradicionalne tehnike analize programa kao što su fuzzing ili analiza softverske kompozicije. Umjesto toga, koristi rezonovanje pokretano LLM-om i upotrebu alata za razumijevanje ponašanja koda i identifikaciju ranjivosti. Aardvark traži greške kao što bi to činio ljudski istraživač sigurnosti: čitajući kod, analizirajući ga, pišući i izvodeći testove, koristeći alate i još mnogo toga.
Aardvark se oslanja na višestepeni proces za identifikaciju, objašnjenje i otklanjanje ranjivosti:
- Analiza: Počinje analizom cijelog repozitorija kako bi se izradio model prijetnji koji odražava razumijevanje sigurnosnih ciljeva i dizajna projekta.
- Skeniranje commit-ova: Skenira ranjivosti pregledom promjena na nivou commit-a u odnosu na cijeli repozitorij i model prijetnji dok se novi kod predaje. Kada se repozitorij prvi put poveže, Aardvark će skenirati njegovu historiju kako bi identificirao postojeće probleme. Aardvark objašnjava ranjivosti koje pronađe korak po korak, bilježeći kod za ljudsku reviziju.
- Validacija: Kada Aardvark identificira potencijalnu ranjivost, pokušat će je aktivirati u izoliranom, sandbox okruženju kako bi potvrdio njezinu iskoristivost. Aardvark opisuje korake poduzete kako bi se osiguralo da se korisnicima vrate tačni, visokokvalitetni uvidi s malim brojem lažno pozitivnih rezultata.
- Popravljanje: Aardvark se integriše s OpenAI Codexom kako bi pomogao u ispravljanju ranjivosti koje pronađe. Prilaže zakrpu koju je generirao Codex i skenirao Aardvark uz svako otkriće za ljudski pregled i efikasno, jednim klikom, zakrpavanje.
Aardvark radi zajedno s inženjerima, integrirajući se s GitHubom, Codexom i postojećim radnim procesima kako bi pružio jasne, korisne uvide bez usporavanja razvoja. Iako je Aardvark izgrađen za sigurnost, u našem testiranju smo otkrili da može također otkriti greške kao što su logičke greške, nepotpuni popravci i problemi s privatnošću.
Aardvark je u upotrebi već nekoliko mjeseci, kontinuirano radi kroz interne baze kodova OpenAI-a i kodne baze vanjskih alfa partnera. Unutar OpenAI-a, otkrivene su značajne ranjivosti i doprinijele su odbrambenom stavu OpenAI-a. Partneri su istakli dubinu analize, pri čemu je Aardvark pronašao probleme koji se javljaju samo pod složenim uvjetima.
U testiranju mjerila na „zlatnim“ repozitorijima, Aardvark je identificirao 92% poznatih i sintetički uvedenih ranjivosti, pokazujući visoku stopu prepoznavanja i efikasnost u stvarnom svijetu.
Aardvark je također primijenjen na open-source projekte, gdje je otkrio i mi smo odgovorno prijavili brojne ranjivosti—deset od kojih su dobile identifikatore Common Vulnerabilities and Exposures (CVE).
Kao korisnici decenija otvorenih istraživanja i odgovornog otkrivanja, posvećeni smo davanju nazad—doprinosu alatima i nalazima koji čine digitalni ekosistem sigurnijim za sve. Planiramo ponuditi pro-bono skeniranje odabranim nekomercijalnim repozitorijima otvorenog koda kako bismo doprinijeli sigurnosti ekosistema softvera otvorenog koda i lanca opskrbe.
Nedavno smo ažurirali našu politiku koordiniranog otkrivanja koja zauzima stav prilagođen programerima, fokusirajući se na saradnju i skalabilan uticaj, umjesto na krute rokove otkrivanja koji mogu vršiti pritisak na programere. Očekujemo da će alati poput Aardvark rezultirati otkrivanjem sve većeg broja grešaka, i želimo održivo sarađivati kako bismo postigli dugoročnu otpornost.
Softver je sada okosnica svake industrije—što znači da su ranjivosti softvera sistemski rizik za poslovanje, infrastrukturu i društvo. Više od 40.000 CVE-a prijavljeno je samo u 2024. godini. Naše testiranje pokazuje da oko 1,2% commitova uvodi greške—male promjene koje mogu imati velike posljedice.
Aardvark predstavlja novi model usmjeren na odbranu: agentnog sigurnosnog istraživača koji sarađuje s timovima pružajući kontinuiranu zaštitu dok se kod razvija. Ranim otkrivanjem ranjivosti, potvrđivanjem iskoristivosti u stvarnom svijetu i pružanjem jasnih rješenja, Aardvark može ojačati sigurnost bez usporavanja inovacija. Vjerujemo u proširenje pristupa sigurnosnoj stručnosti. Počinjemo s privatnom beta verzijom i proširit ćemo dostupnost kako budemo stjecali iskustvo.
Pozivamo odabrane partnere da se pridruže privatnoj beta verziji Aardvark. Učesnici će dobiti rani pristup i raditi direktno s našim timom kako bi poboljšali tačnost detekcije, validacijske tokove rada i iskustvo izvještavanja.
Nastojimo validirati performanse u različitim okruženjima. Ako je vaša organizacija ili open source projekat zainteresirana za pridruživanje, možete se prijaviti ovdje.
Autor
Saradnici
Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu i Matt Knight
Nastavite čitati
