Salta al contingut principal
OpenAI

30 d’octubre del 2025

SeguretatProducteRecercaPublicació

Presentem Aardvark: l’agent de seguretat investigador d’OpenAI

Ara en beta privada: un agent d’IA que pensa com un investigador de seguretat i s’escala per satisfer les exigències del programari modern.

S'està carregant…

Actualització del 6 de març de 2026: Aardvark ara és Codex Security i està disponible com a vista prèvia de recerca.

Aardvark ara està integrat directament a Codex com a Codex Security i s’està desplegant per als clients de ChatGPT Enterprise, Business i Edu a través del web de Codex amb ús gratuït durant el mes vinent. Consulteu el nostre blog aquí.

Avui anunciem Aardvark, un agent investigador de seguretat impulsat per GPT‑5.

La seguretat del programari és una de les fronteres més crítiques —i difícils— de la tecnologia. Cada any es descobreixen desenes de milers de vulnerabilitats noves en bases de codi empresarials i de codi obert. Els defensors afronten la tasca enorme de trobar i corregir vulnerabilitats abans que ho facin els seus adversaris. A OpenAI, treballem per inclinar aquest equilibri a favor dels defensors.

Aardvark representa un avenç en la recerca en IA i seguretat: un agent autònom que pot ajudar desenvolupadors i equips de seguretat a descobrir i solucionar vulnerabilitats de seguretat a escala. Aardvark ja està disponible en beta privada per validar i perfeccionar les seves capacitats sobre el terreny.

Com funciona Aardvark

Aardvark analitza contínuament repositoris de codi font per identificar vulnerabilitats, avaluar-ne l’explotabilitat, prioritzar-ne la gravetat i proposar pedaços específics.

Aardvark funciona monitorant commits i canvis a les bases de codi, identificant vulnerabilitats, com es podrien explotar i proposant solucions. Aardvark no es basa en tècniques tradicionals d’anàlisi de programes com el fuzzing o l’anàlisi de composició de programari. En lloc d’això, utilitza el raonament impulsat per LLM i l’ús d’eines per entendre el comportament del codi i identificar vulnerabilitats. Aardvark busca errors com ho faria un investigador de seguretat humà: llegint codi, analitzant-lo, escrivint i executant proves, utilitzant eines i més.

Diagrama titulat «AARDVARK — Flux de treball de l’agent de descobriment de vulnerabilitats» que mostra un flux de procés des d’un repositori Git fins al modelatge d’amenaces, el descobriment de vulnerabilitats, l’entorn aïllat de validació, l’aplicació de pedaços amb Codex i la revisió humana que porta a una sol·licitud d'extracció.

Aardvark es basa en una canonada multietapa per identificar, explicar i corregir vulnerabilitats:

  • Anàlisi: Comença analitzant el repositori complet per produir un model d’amenaces que reflecteixi la seva comprensió dels objectius de seguretat i del disseny del projecte.
  • Escaneig de commits: Busca vulnerabilitats inspeccionant els canvis a nivell de commit en relació amb tot el repositori i el model d’amenaces a mesura que s’incorpora codi nou. Quan es connecta un repositori per primera vegada, Aardvark n’analitza l’historial per identificar problemes existents. Aardvark explica pas a pas les vulnerabilitats que troba, anotant el codi per a la revisió humana.
  • Validació: Un cop Aardvark ha identificat una vulnerabilitat potencial, intentarà activar-la en un entorn aïllat i sandbox per confirmar-ne l’explotabilitat. Aardvark descriu els passos seguits per ajudar a garantir que es retornin als usuaris resultats precisos, d’alta qualitat i amb pocs falsos positius.
  • Aplicació de pedaços: Aardvark s’integra amb OpenAI Codex per ajudar a corregir les vulnerabilitats que troba. Adjunta a cada troballa un pedaç generat per Codex i escanejat per Aardvark per a revisió humana i una aplicació eficient del pedaç amb un sol clic.

Aardvark treballa al costat dels enginyers, integrant-se amb GitHub, Codex i els fluxos de treball existents per oferir informació clara i accionable sense alentir el desenvolupament. Tot i que Aardvark està pensat per a la seguretat, a les nostres proves hem vist que també pot descobrir errors com defectes de lògica, correccions incompletes i problemes de privadesa.

Impacte real, avui

Aardvark porta diversos mesos en funcionament, executant-se contínuament sobre les bases de codi internes d’OpenAI i les de socis alfa externs. Dins d’OpenAI, ha detectat vulnerabilitats significatives i ha contribuït a la postura defensiva d’OpenAI. Els socis han destacat la profunditat de la seva anàlisi, ja que Aardvark troba problemes que només es produeixen en condicions complexes.

En proves comparatives sobre repositoris «golden», Aardvark va identificar el 92 % de les vulnerabilitats conegudes i introduïdes sintèticament, demostrant una alta taxa de detecció i eficàcia en el món real.

Aardvark per al codi obert

Aardvark també s’ha aplicat a projectes de codi obert, on ha descobert i hem divulgat de manera responsable nombroses vulnerabilitats, deu de les quals han rebut identificadors Common Vulnerabilities and Exposures (CVE).

Com a beneficiaris de dècades de recerca oberta i divulgació responsable, ens comprometem a retornar-hi alguna cosa: contribuint amb eines i descobriments que facin l’ecosistema digital més segur per a tothom. Tenim previst oferir escaneig pro bono a determinats repositoris no comercials de codi obert per contribuir a la seguretat de l’ecosistema i la cadena de subministrament del programari de codi obert.

Recentment hem actualitzat la nostra política de divulgació coordinada sortint, que adopta una postura favorable als desenvolupadors, centrada en la col·laboració i l’impacte escalable, en lloc de terminis rígids de divulgació que poden pressionar els desenvolupadors. Preveiem que eines com Aardvark comportaran el descobriment d’un nombre creixent d’errors, i volem col·laborar de manera sostenible per assolir una resiliència a llarg termini.

Per què és important

El programari és ara l’eix vertebrador de totes les indústries, la qual cosa significa que les vulnerabilitats de programari són un risc sistèmic per a empreses, infraestructures i la societat. Només el 2024 es van registrar més de 40.000 CVE. Les nostres proves mostren que aproximadament l’1,2 % dels commits introdueixen errors: petits canvis que poden tenir conseqüències desproporcionades.

Aardvark representa un nou model centrat primer en els defensors: un agent investigador de seguretat que col·labora amb els equips oferint protecció contínua a mesura que el codi evoluciona. En detectar les vulnerabilitats aviat, validar-ne l’explotabilitat en el món real i oferir solucions clares, Aardvark pot reforçar la seguretat sense frenar la innovació. Creiem en ampliar l’accés a l’expertesa en seguretat. Comencem amb una beta privada i n’ampliarem la disponibilitat a mesura que aprenguem.

Beta privada ja oberta

Convidem socis seleccionats a unir-se a la beta privada d’Aardvark. Els participants obtindran accés anticipat i treballaran directament amb el nostre equip per perfeccionar la precisió de detecció, els fluxos de treball de validació i l’experiència d’informes.

Volem validar el rendiment en una gran varietat d’entorns. Si la vostra organització o projecte de codi obert està interessat a participar-hi, podeu sol·licitar-ho aquí.

Autor

OpenAI

Col·laboradors

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu i Matt Knight

Continuar llegint

Veure-ho tot
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Dreaming: Better memory for a more helpful ChatGPT

Recerca

Rosalind5.5 ArtCard
Presentem noves capacitats per a GPT-Rosalind

Producte

1 1 Art Card
Codex per a cada rol, eina i flux de treball

Producte