Pasar al contenido principal
OpenAI

30 de octubre de 2025

SeguridadProductoInvestigaciónLanzamiento

Presentamos Aardvark: El investigador de seguridad autónomo de OpenAI

Ahora en versión beta privada: un agente de IA que piensa como un investigador de seguridad y se adapta a las exigencias del software moderno.

Cargando...

Hoy anunciamos Aardvark, un investigador de seguridad autónomo basado en GPT‑5.

La seguridad del software es uno de los campos más complejos y decisivos de la tecnología. Los códigos base empresariales y de código abierto se exponen anualmente a decenas de miles de vulnerabilidades. Los equipos defensivos afrontan la difícil tarea de encontrar las vulnerabilidades y corregirlas, antes que sus adversarios. En OpenAI, trabajamos para inclinar la balanza a favor de los defensores.

Aardvark es un importante avance en la investigación sobre IA y seguridad: se trata de un agente autónomo capaz de ayudar a los desarrolladores y equipos de seguridad a detectar y corregir vulnerabilidades de seguridad a gran escala. Aardvark ya está disponible en versión beta privada y está listo para validar y perfeccionar sus capacidades en entornos reales.

Cómo funciona Aardvark

Aardvark analiza constantemente los repositorios de código fuente para identificar vulnerabilidades, evaluar la explotabilidad, priorizar su gravedad y proponer parches específicos.

Supervisa las confirmaciones y los cambios en los códigos base, identifica vulnerabilidades, evalúa su posible explotabilidad y propone soluciones. Aardvark no recurre a técnicas tradicionales de análisis de programas como el proceso “fuzzing” (de pruebas de vulnerabilidad) o el análisis de composición de software. Para comprender el funcionamiento del código e identificar vulnerabilidades, utiliza razonamiento y herramientas basadas en LLM. Aardvark busca errores del mismo modo que un investigador de seguridad humano: leyendo código, analizándolo, escribiendo y ejecutando pruebas, usando herramientas y más.

Diagrama titulado “AARDVARK: Flujo de trabajo del agente de detección de vulnerabilidades”, que muestra un flujo de procesos desde el repositorio Git hasta el modelado de amenazas, la detección de vulnerabilidades, el entorno de pruebas de validación, la aplicación de parches con Codex y la revisión humana que lleva a una solicitud de incorporación de cambios.

Para identificar, explicar y corregir vulnerabilidades, Aardvark sigue un proceso de varias etapas:

  • Análisis: parte de un análisis completo del repositorio para crear un modelo de amenazas que refleje su comprensión de los objetivos y el diseño de seguridad del proyecto.
  • Análisis de confirmaciones: a medida que se confirma el nuevo código, detecta vulnerabilidades inspeccionando los cambios por confirmación en todo el repositorio y contrastándolos con el modelo de amenazas. Cuando un repositorio se conecta por primera vez, Aardvark analiza su historial para identificar las vulnerabilidades existentes. Aardvark explica, paso a paso, las vulnerabilidades que encuentra y agrega anotaciones al código para llevar a cabo una revisión humana.
  • Validación: cuando Aardvark identifica una posible vulnerabilidad, intenta activarla en un entorno aislado y controlado para verificar su explotabilidad. Aardvark detalla los pasos que sigue para garantizar que los usuarios reciban información precisa, de alta calidad y con un bajo índice de falsos positivos.
  • Aplicación de revisiones: para corregir las vulnerabilidades detectadas, Aardvark utiliza Codex de OpenAI. A cada hallazgo, le adjunta un parche generado por Codex, previamente analizado, para que una persona lo revise y corrija de manera eficiente con un solo clic.

Aardvark trabaja con los ingenieros e integra GitHub, Codex y los flujos de trabajo existentes para brindar información clara y útil sin ralentizar el desarrollo. Si bien es cierto que está diseñado para garantizar la seguridad, nuestras pruebas demostraron que también puede descubrir errores como fallas de lógica, correcciones incompletas y problemas de privacidad.

Impacto real, hoy mismo

Aardvark lleva varios meses en servicio y funciona de manera continua en los códigos base internos de OpenAI y en los de sus socios alfa externos. En el contexto de OpenAI, detectó importantes vulnerabilidades y contribuyó a reforzar su capacidad de defensa. Los socios destacaron su análisis a fondo, ya que Aardvark detectó problemas que solo ocurren en condiciones complejas.

En las pruebas de referencia realizadas en repositorios “dorados”, Aardvark identificó el 92 % de las vulnerabilidades conocidas e introducidas sintéticamente, lo que demuestra su alto nivel de recuperación y eficacia en entornos reales.

Aardvark para código abierto

Aardvark también se aplicó a proyectos de código abierto, en los que descubrió y divulgó de manera responsable numerosas vulnerabilidades, diez de las cuales recibieron identificadores de Vulnerabilidades y riesgos comunes (CVE).

Como beneficiarios de décadas de investigación abierta y divulgación responsable, nos comprometemos a devolver lo que recibimos, aportando herramientas y hallazgos que hagan que el ecosistema digital sea más seguro para todos. Para contribuir a la seguridad del ecosistema y la cadena de suministro del software de código abierto, tenemos previsto ofrecer un servicio gratuito de análisis para determinados repositorios de código abierto no comerciales.

Recientemente actualizamos nuestra política de divulgación coordinada externa, que adopta una postura favorable para los desarrolladores, centrada en la colaboración y el impacto a gran escala, en lugar de los plazos de divulgación rígidos que solo generan presión sobre ellos. Prevemos que herramientas como Aardvark permitirán descubrir un número cada vez mayor de errores, por lo que aspiramos a mantener una colaboración sostenible que favorezca una resiliencia a largo plazo.

¿Por qué es importante?

Actualmente, el software es la columna vertebral de cualquier industria y sus vulnerabilidades representan un riesgo sistémico para las empresas, la infraestructura y la sociedad. Tan solo en 2024 se informaron más de 40 000 CVE. Nuestras pruebas indican que alrededor del 1,2 % de las confirmaciones presentan errores, es decir, ligeros cambios que pueden acarrear consecuencias desproporcionadas.

Aardvark es un nuevo modelo centrado en la defensa: un investigador de seguridad proactivo que colabora con los equipos ofreciendo protección continua mientras el código sigue evolucionando. Aardvark refuerza la seguridad sin entorpecer la innovación, ya que detecta vulnerabilidades de forma temprana, valida su explotabilidad en el mundo real y ofrece soluciones claras. Creemos que es necesario ampliar el acceso a los conocimientos especializados en materia de seguridad. Comenzamos con una versión beta privada y la iremos ampliando en función de lo que vayamos aprendiendo.

Versión beta privada ahora disponible

Invitamos a socios selectos a unirse a la versión beta privada de Aardvark. Los participantes podrán acceder de forma anticipada y trabajar directamente con nuestro equipo para perfeccionar la precisión de la detección, los flujos de trabajo de validación y los procesos de generación de informes.

Queremos validar su rendimiento en diversos entornos. Si tu organización o tu proyecto de código abierto están interesados en participar, puedes solicitarlo aquí.

Autor

OpenAI

Colaboradores

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu y Matt Knight

Sigue leyendo

Ver todos
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Dreaming: Better memory for a more helpful ChatGPT

Investigación

Rosalind5.5 ArtCard
Presentar nuevas capacidades para GPT-Rosalind

Producto

1 1 Art Card
Codex para cada rol, herramienta y flujo de trabajo

Producto