Siirry pääsisältöön
OpenAI

30. lokakuuta 2025

TurvallisuusTuoteTutkimusTiedote

Esittelyssä Aardvark: OpenAI:n agenttipohjainen tietoturvatutkija

Nyt yksityisessä beeta-versiossa: tekoälyagentti, joka ajattelee kuin tietoturvatutkija ja skaalautuu vastaamaan nykyaikaisten ohjelmistojen vaatimuksiin.

Ladataan...

Tänään julkistamme GPT‑5‑mallia hyödyntävän agenttipohjaisen tietoturvatutkijan nimeltä Aardvark.

Ohjelmistoturvallisuus on yksi kriittisimmistä ja haastavimmista teknologian osa-alueista. Joka vuosi löydetään kymmeniätuhansia uusia haavoittuvuuksia yritysten ja avoimen lähdekoodin koodikannoissa. Puolustajat kohtaavat haastavan tehtävän löytää ja korjata haavoittuvuuksia ennen kuin hyökkääjät tekevät sen. OpenAI:lla pyrimme kallistamaan tätä tasapainoa puolustajien eduksi.

Aardvark edustaa läpimurtoa tekoälyssä ja tietoturvatutkimuksessa: autonominen agentti, joka voi auttaa kehittäjiä ja tietoturvatiimejä löytämään ja korjaamaan tietoturvahaavoittuvuuksia laaja-alaisesti. Aardvark on nyt saatavilla yksityisenä beeta-versiona, jossa sen ominaisuuksia voidaan vahvistaa ja tarkentaa kentällä.

Miten Aardvark toimii

Aardvark analysoi jatkuvasti lähdekoodivarastoja, jotta se voi tunnistaa haavoittuvuuksia, arvioida hyödynnettävyyttä, priorisoida vakavuutta ja ehdottaa kohdennettuja korjauksia.

Aardvark toimii seuraamalla koodikantojen muutoksia, tunnistamalla haavoittuvuuksia, niiden hyödyntämistapoja ja ehdottamalla korjauksia. Aardvark ei käytä perinteisiä ohjelma-analyysitekniikoita, kuten fuzz-testausta tai ohjelmiston koostumusanalyysia. Sen sijaan se käyttää laajaan kielimalliin perustuvaa päättelyä ja työkaluja koodin käyttäytymisen ymmärtämiseen ja haavoittuvuuksien tunnistamiseen. Aardvark etsii virheitä kuten ihminen tietoturvatutkijana: lukee koodia, analysoi sitä, kirjoittaa ja suorittaa testejä, käyttää työkaluja ja paljon muuta.

Kaavio nimeltä “AARDVARK — Vulnerability Discovery Agent Workflow“, joka esittää prosessinkulun Git-varastosta uhkien mallintamiseen, haavoittuvuuksien löytämiseen, validointihiekkalaatikkoon, Codex-korjauksiin ja ihmisen suorittamaan tarkastukseen, joka johtaa pull-pyyntöön.

Aardvark käyttää monivaiheista prosessia haavoittuvuuksien tunnistamiseen, selittämiseen ja korjaamiseen:

  • Analysointi: Se alkaa analysoimalla koko varastoa uhkamallin luomiseksi, joka kuvastaa sen ymmärrystä projektin tietoturvatavoitteista ja -suunnittelusta.
  • Koodimuutosten skannaus: Se etsii haavoittuvuuksia tarkastelemalla commit-tason muutoksia koko varastoa ja uhkamallia vasten uusien koodimuutosten yhteydessä. Aardvark tarkastaa varaston historian tunnistaakseen olemassa olevat ongelmat, kun se yhdistetään ensimmäisen kerran. Aardvark selittää löytämänsä haavoittuvuudet vaihe vaiheelta ja lisäten huomautuksia koodiin ihmisen tarkastettavaksi.
  • Vahvistaminen: Kun Aardvark on tunnistanut mahdollisen haavoittuvuuden, se yrittää laukaista sen eristetyssä hiekkalaatikkoympäristössä varmistaakseen haavoittuvuuden hyödynnettävyyden. Aardvark kuvaa toimenpiteet, joilla varmistetaan, että käyttäjille palautetaan tarkkoja, korkealaatuisia havaintoja ja vain pieni määrä vääriä positiivisia tuloksia.
  • Korjaaminen: Aardvark integroituu OpenAI Codexin kanssa auttaakseen löydettyjen haavoittuvuuksien korjaamisessa. Se liittää Codexin luoman ja Aardvarkin skannaaman päivityksen jokaiseen löydökseen, jotta ihminen voi tarkastaa sen ja tehdä tehokkaan päivityksen yhdellä napsautuksella.

Aardvark työskentelee yhdessä insinöörien kanssa ja integroituu käytössä oleviin työnkulkuihin, kuten GitHub ja Codex, tarjotakseen selkeitä ja toiminnallisia havaintoja hidastamatta kehitystä. Vaikka Aardvark on rakennettu tietoturvaa silmällä pitäen niin testeissämme olemme havainneet, että se voi paljastaa myös virheitä, kuten logiikkavirheitä, puutteellisia korjauksia ja tietosuojaongelmia.

Todellista vaikutusta, tänään.

Aardvark on ollut käytössä useita kuukausia ja toiminut jatkuvasti OpenAI:n sisäisissä koodikannoissa ja ulkoisten alfa-kumppaneiden koodikannoissa. OpenAI:n sisäisesti se on paljastanut merkittäviä haavoittuvuuksia ja osaltaan vahvistanut OpenAI:n puolustusasemaa. Kumppanit ovat korostaneet sen analyysin perusteellisuutta ja Aardvark onkin löytänyt ongelmia, joita esiintyy vain monimutkaisissa olosuhteissa.

Niin kutsutussa kultaisten arkistojen vertailutestauksessa Aardvark tunnisti 92 % tunnetuista ja synteettisesti lisätyistä haavoittuvuuksista, mikä osoittaa korkeaa muistissa pysymistä ja tehokkuutta käytännössä.

Aardvark avoimeen lähdekoodiin

Aardvarkia on sovellettu myös avoimen lähdekoodin projekteihin, joissa se on löytänyt ja me olemme vastuullisesti paljastaneet lukuisia haavoittuvuuksia. Näistä kymmenelle on annettu Common Vulnerabilities and Exposures (CVE) -tunnisteet.

Olemme hyötyneet avoimesta tutkimuksesta ja vastuullisesta tietojen julkistamisesta jo vuosikymmeniä, joten olemme sitoutuneet antamaan takaisin tarjoamalla työkaluja ja löydöksiä, jotka tekevät digitaalisesta ekosysteemistä turvallisemman kaikille. Aiomme tarjota pro bono -skannausta valituille ei-kaupallisille avoimen lähdekoodin varastoille edistääksemme tietoturvaa avoimen lähdekoodin ohjelmistojen ekosysteemissä ja toimitusketjussa.

Päivitimme hiljattain lähtevän koordinoidun tiedonantokäytäntömme, joka on kehittäjäystävällinen ja keskittyy yhteistyöhön ja skaalautuvaan vaikutukseen sen sijaan, että asettaisimme jäykkiä tiedonantoaikatauluja, jotka voivat aiheuttaa painetta kehittäjille. Odotamme, että Aardvarkin kaltaiset työkalut johtavat yhä useamman virheen löytämiseen ja haluamme tehdä kestävää yhteistyötä pitkän aikavälin resilienssin saavuttamiseksi.

Miksi sillä on merkitystä

Ohjelmistot ovat nykyään jokaisen toimialan perusta – tarkoittaen, että ohjelmistohaavoittuvuudet ovat systeeminen riski yrityksille, infrastruktuurille ja yhteiskunnalle. Pelkästään vuonna 2024 ilmoitettiin yli 40 000 CVE-tapausta. Testimme osoittavat, että noin 1,2 % commit-muutoksista aiheuttaa virheitä – pieniä muutoksia, joilla voi olla vakavia seurauksia.

Aardvark edustaa uutta puolustajalähtöistä mallia: agenttipohjaista tietoturvatutkijaa, joka tekee yhteistyötä tiimien kanssa tarjoamalla jatkuvaa suojausta koodin kehittyessä. Havaitsemalla haavoittuvuudet varhaisessa vaiheessa, vahvistamalla niiden hyödynnettävyyden tosielämässä ja tarjoamalla selkeitä korjauksia Aardvark voi vahvistaa tietoturvaa hidastamatta innovaatioita. Uskomme turvallisuusasiantuntemuksen saatavuuden laajentamiseen. Aloitamme yksityisellä beeta-testauksella ja laajennamme saatavuutta sitä mukaa, kun saamme lisätietoja.

Yksityinen beeta on nyt avoinna hakemuksille

Kutsumme valikoituja kumppaneita liittymään Aardvarkin yksityiseen beeta-testaukseen. Osallistujat saavat ennakkokäyttöoikeuden ja voivat työskennellä suoraan tiimimme kanssa tunnistustarkkuuden, vahvistustyönkulkujen ja raportointikokemuksen parantamiseksi.

Pyrimme vahvistamaan suorituskykyä erilaisissa ympäristöissä. Jos organisaatiosi tai avoimen lähdekoodin projektisi on kiinnostunut testauksesta, voit hakea täällä.

Tekijä

OpenAI

Tukijat

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu ja Matt Knight

Jatka lukemista

Näytä kaikki
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Dreaming: Better memory for a more helpful ChatGPT

Tutkimus

Rosalind5.5 ArtCard
Uusia ominaisuuksia GPT-Rosalindiin

Tuote

1 1 Art Card
Codex jokaiseen rooliin, työkaluun ja työnkulkuun

Tuote