Ir al contenido principal
OpenAI

30 de octubre de 2025

SeguridadProductoInvestigaciónLanzamiento

Presentamos Aardvark: el investigador de seguridad basado en agentes de OpenAI

Ya disponible en beta privada: un agente con inteligencia artificial que piensa como un investigador de seguridad y crece según las necesidades para responder a las exigencias del software moderno.

Cargando…

Hoy anunciamos Aardvark, un investigador de seguridad basado en agentes, impulsado por GPT‑5.

La seguridad del software es una de las fronteras más críticas (y complejas) de la tecnología. Cada año se descubren decenas de miles de nuevas vulnerabilidades en bases de código empresariales y de código abierto. Los defensores se enfrentan al enorme reto de detectar y corregir vulnerabilidades antes que sus adversarios. En OpenAI, trabajamos para inclinar la balanza a favor de los defensores.

Aardvark representa un avance en inteligencia artificial e investigación en seguridad: un agente autónomo que puede ayudar a los equipos de desarrollo y seguridad a detectar y corregir vulnerabilidades de software a gran escala. Aardvark ya está disponible en beta privada para validar y perfeccionar sus funciones sobre el terreno.

Cómo funciona Aardvark

Aardvark analiza continuamente repositorios de código fuente para detectar vulnerabilidades, evaluar su posible explotación, priorizar su gravedad y proponer correcciones específicas.

Funciona supervisando las confirmaciones y los cambios en las bases de código, detectando vulnerabilidades, cómo podrían explotarse y proponiendo soluciones. Aardvark no se basa en técnicas tradicionales de análisis como el fuzzing o el análisis de composición de software. En su lugar, emplea razonamiento basado en modelos de lenguaje y el uso de herramientas para comprender el comportamiento del código y detectar vulnerabilidades. Busca errores igual que lo haría un investigador de seguridad humano: leyendo código, analizándolo, escribiendo y ejecutando pruebas, usando herramientas y más.

Diagrama titulado «AARDVARK: flujo de trabajo de detección de vulnerabilidades», que muestra un proceso desde el repositorio Git hasta el modelado de amenazas, detección de vulnerabilidades, entorno de validación, corrección con Codex y revisión humana que finaliza en un pull request.

Aardvark sigue un proceso en varias etapas para detectar, explicar y corregir vulnerabilidades:

  • Análisis: Empieza analizando el repositorio completo para elaborar un modelo de amenazas que refleje su comprensión de los objetivos y el diseño de seguridad del proyecto.
  • Escaneo de confirmaciones: Escanea en busca de vulnerabilidades inspeccionando los cambios a nivel de confirmación en todo el repositorio, comparándolos con el modelo de amenazas, a medida que se incorporan nuevas confirmaciones. Cuando se conecta un repositorio por primera vez, Aardvark escanea su historial para identificar problemas existentes. Aardvark explica paso a paso las vulnerabilidades que detecta y anota el código para su revisión por parte de personas expertas.
  • Validación: Una vez que Aardvark ha detectado una posible vulnerabilidad, intentará activarla en un entorno aislado y protegido para confirmar su potencial de explotación. Aardvark describe los pasos que sigue para garantizar que los análisis que ofrece sean precisos, útiles y con pocas falsas alarmas.
  • Corrección: Aardvark se integra con OpenAI Codex para ayudar a corregir las vulnerabilidades que detecta. Adjunta un parche generado por Codex y escaneado por Aardvark a cada hallazgo, para la revisión humana y una corrección rápida con un solo clic.

Aardvark trabaja junto con ingenieros, integrándose con GitHub, Codex y los flujos de trabajo existentes para ofrecer información clara y útil sin ralentizar el desarrollo. Aunque Aardvark está diseñado para la seguridad, durante las pruebas también ha identificado errores como fallos de lógica, correcciones incompletas y problemas de privacidad.

Impacto real, hoy

Aardvark lleva varios meses en funcionamiento, operando de forma continua en los repositorios internos de OpenAI y en los de colaboradores externos en fase alfa. Dentro de OpenAI, ha detectado vulnerabilidades relevantes y ha contribuido a mejorar la postura defensiva de la empresa. Las organizaciones colaboradoras han destacado la profundidad de su análisis, ya que Aardvark ha encontrado problemas que solo aparecen en condiciones complejas.

En pruebas de referencia sobre repositorios modelo, Aardvark identificó el 92 % de las vulnerabilidades conocidas y las introducidas de forma sintética, demostrando una alta capacidad de detección y eficacia práctica.

Aardvark para el código abierto

Aardvark también se ha utilizado en proyectos de código abierto, donde ha descubierto y comunicado de forma responsable numerosas vulnerabilidades, diez de las cuales han recibido identificadores CVE (Common Vulnerabilities and Exposures, o vulnerabilidades y exposiciones comunes).

Como beneficiarios de décadas de investigación abierta y divulgación responsable, estamos comprometidos a contribuir de vuelta, compartiendo herramientas y hallazgos que hagan el ecosistema digital más seguro para todas las personas. Tenemos previsto ofrecer análisis pro bono a determinados repositorios de código abierto sin fines comerciales para contribuir a la seguridad del ecosistema de software abierto y la cadena de suministro.

Recientemente hemos actualizado nuestra política de divulgación coordinada externa, que adopta un enfoque favorable a los desarrolladores, centrado en la colaboración y el impacto escalable, en lugar de plazos de divulgación estrictos que puedan ejercer presión sobre los desarrolladores. Esperamos que herramientas como Aardvark permitan descubrir un número cada vez mayor de errores y queremos colaborar de forma sostenible para lograr una resiliencia a largo plazo.

¿Por qué esto es tan importante?

El software es hoy la base de todos los sectores, lo que convierte las vulnerabilidades en un riesgo sistémico para empresas, infraestructuras y la sociedad. Solo en 2024 se reportaron más de 40 000 CVE. Nuestras pruebas muestran que alrededor del 1,2 % de las confirmaciones introduce errores: pequeños cambios que pueden tener consecuencias enormes.

Aardvark representa un nuevo modelo centrado en la defensa: un investigador de seguridad basado en agentes que trabaja con los equipos ofreciendo protección continua a medida que el código evoluciona. Al detectar vulnerabilidades pronto, validar la posibilidad de explotación en el mundo real y proponer soluciones claras, Aardvark puede reforzar la seguridad sin frenar la innovación. Creemos en ampliar el acceso a la experiencia en seguridad. Comenzamos con una beta privada y ampliaremos su disponibilidad a medida que aprendamos.

Beta privada ya disponible

Estamos invitando a colaboradores seleccionados a unirse a la beta privada de Aardvark. Los participantes tendrán acceso anticipado y trabajarán directamente con nuestro equipo para mejorar la precisión de detección, los flujos de validación y la experiencia de informes.

Buscamos validar el rendimiento en una gran variedad de entornos. Si tu organización o un proyecto de código abierto en el que participas quiere unirse al programa, puedes solicitarlo aquí.

Autor

OpenAI

Contribuidores

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu y Matt Knight

Sigue leyendo

Ver todo
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Una base más sólida para la memoria de ChatGPT

Investigación

Rosalind5.5 ArtCard
Presentación de nuevas capacidades para GPT-Rosalind

Producto

1 1 Art Card
Codex para cada rol, herramienta y flujo de trabajo

Producto