Tutvustame Aardvarki: OpenAI agentide turvauurijat
Nüüd privaatses beetas: tehisintellekti agent, kes mõtleb nagu turvauurija ja skaleerub, et vastata kaasaegse tarkvara nõudmistele.
Täna kuulutame välja Aardvarki, agentse turvauurija, mida toetab GPT‑5.
Tarkvara turvalisus on üks kriitilisemaid ja keerulisemaid valdkondi tehnoloogias. Igal aastal avastatakse kümneid tuhandeid uusi haavatavusi ettevõtete ja avatud lähtekoodiga koodibaasides. Kaitsjad seisavad silmitsi hirmutavate ülesannetega leida ja parandada haavatavusi enne, kui nende vastased seda teevad. OpenAI-s töötame selle nimel, et kallutada tasakaalu kaitsjate kasuks.
Aardvark esindab läbimurret tehisintellekti ja turvalisuse uurimises: iseseisev agent, mis aitab arendajatel ja turvameeskondadel avastada ja parandada turvaauke suurel skaalal. Aardvark on nüüd saadaval privaatses beetas, et valideerida ja täiustada selle võimekust valdkonnas.
Aardvark analüüsib pidevalt lähtekoodi varamuid, et tuvastada haavatavusi, hinnata nende ärakasutatavust, seada tõsiduse prioriteedid ja teha ettepanekuid sihipäraste paranduste kohta.
Aardvark töötab, jälgides koodibaaside muudatusi ja pühendumisi, tuvastades haavatavusi, kuidas neid võidakse ära kasutada, ning pakkudes välja parandusi. Aardvark ei tugine traditsioonilistele programmi analüüsi meetoditele nagu fuzzing või tarkvara koostise analüüs. Selle asemel kasutab see LLM-i juhitud arutlemist ja tööriistade kasutamist, et mõista koodi käitumist ja tuvastada haavatavusi. Aardvark otsib vigu nagu inimlik turvauurija: lugedes koodi, analüüsides seda, kirjutades ja käivitades teste, kasutades tööriistu ja muud.
Aardvark tugineb mitmeetapilisele protsessidele, et tuvastada, selgitada ja parandada haavatavusi:
- Analüüs. See algab kogu varamu analüüsimisega, et luua ohumudel, mis peegeldab projekti turvaeesmärkide ja disaini mõistmist.
- Commiti skannimine. See tuvastab haavatavusi, kontrollides pühenduste tasemel muudatusi kogu hoidla ja ohumudeli suhtes, kui uus kood lisatakse. Kui hoidla esmakordselt ühendatakse, skaneerib Aardvark selle ajalugu, et tuvastada olemasolevad probleemid. Aardvark selgitab leitud haavatavusi samm-sammult, lisades koodile märkusi inimeste ülevaatamiseks.
- Valideerimine. Kui Aardvark on tuvastanud potentsiaalse haavatavuse, proovib see seda isoleeritud liivakastikeskkonnas käivitada, et kinnitada selle ärakasutatavust. Aardvark kirjeldab samme, mis on astutud selleks, et aidata tagada täpsed, kõrgekvaliteedilised ja madala valepositiivsusega ülevaated kasutajatele.
- Parandamine. Aardvark integreerub OpenAI Codexiga, et aidata leitud haavatavusi parandada. See lisab igale leiule Codexi koostatud ja Aardvarki skaneeritud paranduse, et inimesed saaksid seda üle vaadata ja tõhusalt ühe klõpsuga parandada.
Aardvark töötab koos inseneridega, integreerudes GitHubi, Codexi ja olemasolevate töövoogudega, et pakkuda selgeid ja rakendatavaid teadmisi ilma arendust aeglustamata. Kuigi Aardvark on loodud turvalisuse tagamiseks, oleme oma testimisel leidnud, et see võib avastada ka vigu, nagu loogikavead, mittetäielikud parandused ja privaatsusprobleemid.
Aardvark on olnud kasutuses mitu kuud, töötades pidevalt nii OpenAI sisemistes koodibaasides kui ka väliste alfa-partnerite koodibaasides. OpenAI sees on ilmnenud olulisi haavatavusi ja see on aidanud kaasa OpenAI kaitsepositsioonile. Partnerid on esile tõstnud analüüsi põhjalikkuse, kusjuures Aardvark tuvastab probleeme, mis ilmnevad ainult keerulistes tingimustes.
Võrdlustestides „kuldsetes” varamutes tuvastas Aardvark 92% teadaolevatest ja sünteetiliselt lisatud haavatavustest, näidates kõrget tuvastusmäära ja tõhusust reaalses maailmas.
Aardvarki on rakendatud ka avatud lähtekoodiga projektides, kus see on avastanud ja me oleme vastutustundlikult avalikustanud arvukalt haavatavusi – kümme neist on saanud Common Vulnerabilities and Exposures (CVE) identifikaatorid.
Kuna oleme aastakümnete pikkuse avatud uurimistöö ja vastutustundliku avalikustamise kasusaajad, oleme pühendunud tagasi andmisele – panustades tööriistade ja leidudega, mis muudavad digitaalse ökosüsteemi kõigile turvalisemaks. Me plaanime pakkuda pro bono skaneerimist valitud mittetulunduslikele avatud lähtekoodiga repositooriumidele, et panustada avatud lähtekoodiga tarkvara ökosüsteemi ja tarneahela turvalisusse.
Oleme hiljuti uuendanud oma väljuvat kooskõlastatud avalikustamise põhimõtteid, mis võtab arendajasõbraliku hoiaku, keskendudes koostööle ja skaleeruvale mõjule, mitte jäikadele avalikustamise tähtaegadele, mis võivad arendajatele survet avaldada. Me eeldame, et sellised tööriistad nagu Aardvark toovad kaasa üha suurema arvu vigade avastamise ning soovime jätkusuutlikult koostööd teha, et saavutada pikaajaline vastupanuvõime.
Tarkvara on nüüd iga tööstusharu selgroog – see tähendab, et tarkvara haavatavused kujutavad endast süsteemset riski ettevõtetele, infrastruktuurile ja ühiskonnale. Üle 40 000 CVE teatati ainuüksi 2024. aastal. Meie testimine näitab, et umbes 1,2% commit'idest toob kaasa vigu—väikesed muudatused, millel võivad olla suured tagajärjed.
Aardvark esindab uut kaitsjakeskset mudelit: agentne turvauurija, kes teeb meeskondadega koostööd, pakkudes pidevat kaitset koodi arenedes. Püüdes varakult avastada haavatavusi, kinnitades nende reaalse maailma ärakasutatavust ja pakkudes selgeid lahendusi, saab Aardvark tugevdada turvalisust ilma innovatsiooni pidurdamata. Usume turvalisuse ekspertiisile juurdepääsu laiendamisse. Alustame privaatse beetaga ja laiendame kättesaadavust, kui kogemusi omandame.
Kutsume valitud partnereid liituma Aardvarki privaatse beetaga. Osalejad saavad varajase juurdepääsu ja töötavad otse meie meeskonnaga, et täiustada tuvastustäpsust, valideerimistöövooge ja aruandluskogemust.
Otsime jõudluse valideerimist erinevates keskkondades. Kui su organisatsioon või avatud lähtekoodiga projekt on huvitatud liitumisest, saad siin taotleda.
Autor
Kaastöötajad
Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight
Jätka lugemist
