Μετάβαση στο κύριο περιεχόμενο
OpenAI

30 Οκτωβρίου 2025

Ασφαλεία συστημάτωνΠροϊόνΈρευναΈκδοση

Παρουσιάζουμε το Aardvark: το εργαλείο έρευνας ασφαλείας με πράκτορα της OpenAI

Τώρα σε ιδιωτική έκδοση beta: Ένας πράκτορας ΤΝ που σκέφτεται σαν ερευνητής ασφαλείας και κλιμακώνεται ώστε να ανταποκρίνεται στις απαιτήσεις του σύγχρονου λογισμικού.

Φόρτωση…

Σήμερα, ανακοινώνουμε την διάθεση του Aardvark, ενός εργαλείου έρευνας ασφαλείας που βασίζεται στο GPT‑5.

Η ασφάλεια λογισμικού είναι ένα από τα πιο κρίσιμα —και απαιτητικά— ζητήματα στην τεχνολογία. Κάθε χρόνο, προκύπτουν δεκάδες χιλιάδες νέες ευπάθειες σε κώδικες επιχειρήσεων και βάσεις κώδικα ανοικτού κώδικα. Οι υπεύθυνοι ασφαλείας αντιμετωπίζουν το δύσκολο καθήκον της ανεύρεσης και επιδιόρθωσης ευπαθειών πριν το κάνουν οι εχθροί τους. Στην OpenAI, στόχος μας είναι να διαμορφώσουμε αυτήν την ισορροπία υπέρ των υπευθύνων ασφαλείας.

Το Aardvark φέρνει την επανάσταση στην έρευνα για την ΤΝ και την ασφάλεια: πρόκειται για έναν αυτόνομο πράκτορα που βοηθά τους προγραμματιστές και τις ομάδες ασφαλείας να ανακαλύψουν και να διορθώσουν ευπάθειες ασφαλείας σε μεγάλη κλίμακα. Το Aardvark είναι τώρα διαθέσιμο σε ιδιωτική έκδοση beta, με στόχο την επικύρωση και τη βελτίωση των δυνατοτήτων του στην πράξη.

Πώς λειτουργεί το Aardvark

Το Aardvark αναλύει συνεχώς τα αποθετήρια πηγαίου κώδικα με στόχο να εντοπίζει ευπάθειες, να αξιολογεί τη δυνατότητα εκμετάλλευσης, να δίνει προτεραιότητα βάσει επικινδυνότητας και να προτείνει στοχευμένες ενημερώσεις κώδικα.

Το Aardvark λειτουργεί παρακολουθώντας τις δεσμεύσεις και τις αλλαγές σε βάσεις κώδικα, εντοπίζοντας ευπάθειες, τον τρόπο με τον οποίο μπορεί να τις εκμεταλλευτεί κανείς και προτείνοντας διορθώσεις. Το Aardvark δεν βασίζεται σε παραδοσιακές τεχνικές ανάλυσης προγραμμάτων όπως το fuzzing ή η ανάλυση σύνθεσης λογισμικού. Αντίθετα, χρησιμοποιεί συλλογιστική και χρήση εργαλείων μέσω LLM, για να κατανοεί τη συμπεριφορά του κώδικα και να εντοπίζει ευπάθειες. Το Aardvark αναζητά σφάλματα όπως θα έκανε ένας ερευνητής ασφαλείας: διαβάζοντας κώδικα, αναλύοντάς τον, γράφοντας και εκτελώντας δοκιμές, χρησιμοποιώντας εργαλεία και πολλά άλλα.

Διάγραμμα με τίτλο «AARDVARK - Vulnerability Discovery Agent Workflow» που δείχνει τη ροή της διαδικασίας από το αποθετήριο του Git στη μοντελοποίηση απειλών, την ανακάλυψη ευπαθειών, την επικύρωση sandbox, την επιδιόρθωση με το Codex και την αξιολόγηση από προγραμματιστή που οδηγεί σε ένα αίτημα συγχώνευσης κώδικα.

Το Aardvark βασίζεται σε μια διαδικασία πολλαπλών σταδίων που έχουν στόχο να προσδιορίζουν, να εξηγούν και να διορθώνουν ευπάθειες:

  • Ανάλυση: Ξεκινά με την ανάλυση του πλήρους αποθετηρίου για να δημιουργήσει ένα μοντέλο απειλών που αντικατοπτρίζει την κατανόηση των στόχων ασφαλείας και του σχεδιασμού του έργου.
  • Σάρωση δεσμεύσεων: Σαρώνει για ευπάθειες επιθεωρώντας αλλαγές σε επίπεδο δεσμεύσεων σε ολόκληρο το αποθετήριο και το μοντέλο απειλών, καθώς δεσμεύεται νέος κώδικας. Όταν ένα αποθετήριο συνδεθεί για πρώτη φορά, το Aardvark θα σαρώσει το ιστορικό του για να εντοπίσει υπάρχοντα ζητήματα. Το Aardvark εξηγεί τις ευπάθειες που εντοπίζει βήμα προς βήμα, σχολιάζοντας τον κώδικα για να περάσει σε έλεγχο από προγραμματιστή.
  • Επικύρωση: Μόλις το Aardvark εντοπίσει μια πιθανή ευπάθεια, θα προσπαθήσει να την ενεργοποιήσει σε ένα απομονωμένο περιβάλλον για να επικυρώσει αν όντως μπορεί να την εκμεταλλευτεί ενδεχόμενη επίθεση. Το Aardvark περιγράφει τα βήματα που έχουν ληφθεί, προκειμένου να διασφαλιστεί ότι προσφέρονται στους χρήστες ακριβείς, υψηλής ποιότητας πληροφορίες με χαμηλή πιθανότητα για ψευδώς θετικά αποτελέσματα.
  • Επιδιόρθωση: Το Aardvark ενσωματώνεται στο OpenAI Codex προκειμένου να βοηθήσει στη διόρθωση των ευπαθειών που εντοπίζει. Επισυνάπτει μια διόρθωση που δημιουργείται από το Codex και σαρώνεται από το Aardvark σε κάθε εύρημα για έλεγχο από προγραμματιστή και αποτελεσματική επιδιόρθωση με ένα κλικ.

Το Aardvark συνεργάζεται με μηχανικούς, ενσωματώνοντας το GitHub, το Codex και τις υπάρχουσες ροές εργασίας, ώστε να παρέχει σαφείς, εφαρμόσιμες πληροφορίες χωρίς να επιβραδύνει την ανάπτυξη. Ενώ το Aardvark είναι σχεδιασμένο με γνώμονα την ασφάλεια, στις δοκιμές μας βρήκαμε ότι μπορεί επίσης να εντοπίσει σφάλματα όπως ελαττώματα λογικής, ελλιπείς διορθώσεις και ζητήματα απορρήτου.

Πραγματικός αντίκτυπος, σήμερα

Το Aardvark είναι σε λειτουργία εδώ και αρκετούς μήνες, εκτελώντας ενέργειες συνεχώς στις εσωτερικές βάσεις κώδικα της OpenAI και εξωτερικών συνεργατών της έκδοσης alpha. Στο πλαίσιο της OpenAI, έχει αναδείξει σημαντικές ευπάθειες και έχει συμβάλει στην προστασία της OpenAI. Οι συνεργάτες έχουν επισημάνει το εύρος της ανάλυσής του, με το Aardvark να εντοπίζει ζητήματα που εμφανίζονται μόνο υπό σύνθετες συνθήκες.

Στις δοκιμές αναφοράς σε «χρυσά» αποθετήρια, το Aardvark εντόπισε το 92% των γνωστών και συνθετικά εισαγόμενων ευπαθειών, επιδεικνύοντας υψηλή ανάκληση και αποτελεσματικότητα στον πραγματικό κόσμο.

Το Aardvark για τον ανοικτό κώδικα

Το Aardvark έχει επίσης εφαρμοστεί σε έργα ανοικτού κώδικα, όπου έχει ανακαλύψει (και εμείς από πλευράς μας έχουμε αποκαλύψει υπεύθυνα) πολυάριθμες ευπάθειες — δέκα από τις οποίες έχουν λάβει αναγνωριστικά Κοινών Ευπαθειών και Εκθέσεων (CVE).

Ως αποδέκτες δεκαετιών ανοικτής έρευνας και υπεύθυνης ενημέρωσης, δεσμευόμαστε να ανταποδώσουμε, συνεισφέροντας με εργαλεία και ευρήματα που καθιστούν το ψηφιακό οικοσύστημα ασφαλέστερο για όλους. Σκοπεύουμε να προσφέρουμε σάρωση αφιλοκερδώς σε επιλεγμένα μη εμπορικά ανοικτά αποθετήρια, ώστε να συμβάλουμε στην ασφάλεια του οικοσυστήματος λογισμικού ανοικτού κώδικα και της αλυσίδας εφοδιασμού.

Πρόσφατα ενημερώσαμε την πολιτική συντονισμένης αποκάλυψης εξωτερικών πληροφοριών, η οποία υιοθετεί μια φιλική στάση προς τους προγραμματιστές, εστιάζοντας στη συνεργασία και τον κλιμακωτό αντίκτυπο, και όχι στα άκαμπτα χρονοδιαγράμματα ενημέρωσης που ενδέχεται να ασκούν πίεση στους προγραμματιστές. Προσδοκούμε ότι εργαλεία όπως το Aardvark θα οδηγήσουν στον εντοπισμό αυξανόμενου αριθμού σφαλμάτων και επιθυμία μας είναι να συνεργαστούμε με βιώσιμο τρόπο ώστε να επιτύχουμε μακροπρόθεσμη ανθεκτικότητα.

Γιατί έχει σημασία

Το λογισμικό είναι πλέον η ραχοκοκαλιά κάθε βιομηχανίας. Επομένως, οι ευπάθειες του λογισμικού αποτελούν συστημικό κίνδυνο για τις επιχειρήσεις, τις υποδομές και την κοινωνία. Πάνω από 40.000 CVE αναφέρθηκαν μόνο το 2024. Οι δοκιμές μας δείχνουν ότι περίπου το 1,2% των δεσμεύσεων εισάγουν σφάλματα — μικρές αλλαγές που ενδέχεται να έχουν δυσανάλογες συνέπειες.

Το Aardvark αντιπροσωπεύει ένα νέο μοντέλο που δίνει προτεραιότητα στον υπεύθυνο ασφαλείας: είναι ένα πρόγραμμα έρευνας ασφαλείας που συνεργάζεται με ομάδες, παρέχοντας συνεχή προστασία καθώς εξελίσσεται ο κώδικας. Με την έγκαιρη ανίχνευση των ευπαθειών, την επικύρωση του πραγματικού ενδεχόμενου να τις εκμεταλλευτεί αυτές τυχόν επιτιθέμενος και την παροχή σαφών διορθώσεων, το Aardvark μπορεί να ενισχύσει την ασφάλεια χωρίς να επιβραδύνει την καινοτομία. Πιστεύουμε στην διεύρυνση της πρόσβασης στην τεχνογνωσία της ασφάλειας. Διαθέτουμε, λοιπόν, την ιδιωτική έκδοση beta και θα επεκτείνουμε τη διαθεσιμότητα καθώς διευρύνονται οι γνώσεις μας.

Η ιδιωτική έκδοση beta είναι τώρα διαθέσιμη

Προσκαλούμε επιλεγμένους συνεργάτες να συμμετάσχουν στην ιδιωτική έκδοση beta του Aardvark. Οι συμμετέχοντες θα έχουν πρώιμη πρόσβαση και θα συνεργαστούν απευθείας με την ομάδα μας, ώστε να συμβάλουν στη βελτίωση της ακρίβειας ανίχνευσης, των ροών εργασίας επικύρωσης και της εμπειρίας δημιουργίας αναφορών.

Στόχος μας είναι να επικυρώσουμε την απόδοση σε διάφορα περιβάλλοντα. Αν ο οργανισμός σας ή το έργο ανοικτού κώδικα που εκπροσωπείτε ενδιαφέρεται να συμμετάσχει, μπορείτε να κάνετε αίτηση εδώ.

Συντάκτης

OpenAI

Συνεισφέροντες

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight

Συνεχίστε να διαβάζετε

Εμφάνιση όλων
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Ισχυρότερα θεμέλια για τη μνήμη του ChatGPT

Έρευνα

Rosalind5.5 ArtCard
Παρουσιάζουμε νέες δυνατότητες για το GPT-Rosalind

Προϊόν

1 1 Art Card
Codex για κάθε ρόλο, εργαλείο και ροή εργασίας

Προϊόν