Lumaktaw sa pangunahing content
OpenAI

Oktubre 30, 2025

SeguridadProduktoPananaliksikPaglabas

Ipinapakilala ang Aardvark: ang agentic na mananaliksik sa seguridad ng OpenAI

Ngayon sa pribadong Beta: isang AI agent na mag-isip tulad ng isang mananaliksik sa seguridad at umaangkop para matugunan ang mga pangangailangan ng modernong software.

Naglo-load…

Ngayon, inihahayag namin ang Aardvark, isang agentic na mananaliksik sa seguridad na pinapagana ng GPT‑5.

Ang seguridad ng software ay isa sa mga pinaka-kritikal—at mapanghamong—frontier sa teknolohiya. Bawat taon, sampu-sampung libong bagong kahinaan ang natutuklasan sa mga enterprise at open-source na codebase. Ang mga tagapagtanggol ay humaharap sa mga nakakatakot na gawain ng paghahanap at pag-aayos ng mga kahinaan bago pa man sila maunahan ng kanilang mga kalaban. Sa OpenAI, nagsusumikap kaming ibigay ang balanseng iyon pabor sa mga tagapagtanggol.

Kumakatawan ang Aardvark sa tagumpay sa pananaliksik sa AI at seguridad: isang awtonomong agent na makakatulong sa mga developer at mga team sa seguridad na matuklasan at maayos ang mga kahinaan sa seguridad sa malawakang saklaw. Available na ngayon ang Aardvark sa pribadong beta para subukan at pagbutihin ang mga kakayahan nito sa larangan.

Paano gumagana ang Aardvark

Patuloy na sinusuri ng Aardvark ang mga repositoryo ng code ng mapagkukunan para tukuyin ang mga kahinaan, tasahin ang posibilidad ng pagsasamantala, unahin ang kalubhaan, at magmungkahi ng mga tiyak na pag-aayos.

Gumaganan ang Aardvark sa pamamagitan ng pagsubaybay sa mga commit at pagbabago sa mga codebase, pagtukoy ng mga kahinaan, kung paano ito maaaring mapagsamantalahan, at pag-aalok ng mga solusyon. Hindi umaasa ang Aardvark sa mga tradisyonal na pamamaraan ng pagsusuri ng programa tulad ng pag-fuzz o pagsusuri ng komposisyon ng software. Sa halip, gumagamit ito ng pangangatwiran at paggamit ng mga tool na pinapagana ng LLM para maunawaan ang pag-uugali ng code at tukuyin ang mga kahinaan. Naghahanap ang Aardvark ng mga bug tulad ng mananaliksik sa seguridad ng tao: sa pamamagitan ng pagbabasa ng code, pagsusuri nito, pagsusulat at pagpapatakbo ng mga pagsubok, paggamit ng mga tool, at iba pa.

Diagram na pinamagatang “AARDVARK — Daloy ng Trabaho ng Agent ng Pagtuklas ng Kahinaan” na nagpapakita ng daloy ng proseso mula sa Git repository patungo sa pagmomodelo ng banta, pagtuklas ng kahinaan, sandbox ng pagpapatunay, pag-patch gamit ang Codex, at pagsusuri ng tao na humahantong sa isang pull request.

Umaasa ang Aardvark sa isang multi-stage na pipeline para tukuyin, ipaliwanag, at ayusin ang mga kahinaan:

  • Pagsusuri: Nagsisimula ito sa pagsusuri ng buong repositoryo para makabuo ng modelo ng banta na sumasalamin sa pag-unawa nito sa mga layunin sa seguridad at disenyo ng proyekto.
  • Pag-scan ng commit: Ini-scan nito ang mga kahinaan sa pamamagitan ng pag-inspeksyon ng mga pagbabago sa level ng commit laban sa buong repositoryo at modelo ng banta habang may bagong code na nai-commit. Kapag unang ikinonekta ang repositoryo, susuriin ng Aardvark ang kasaysayan nito para matukoy ang mga umiiral na isyu. Ipinaliwanag ng Aardvark ang mga kahinaan na natuklasan nito nang sunud-sunod, na ina-annotate ang code para sa pagsusuri ng tao.
  • Pagpapatunay: Kapag natukoy na ng Aardvark ang potensyal na kahinaan, susubukan nitong i-trigger ito sa nakahiwalay at naka-sandbox na kapaligiran para tiyakin ang kakayahan nitong ma-exploit. Inilalarawan ng Aardvark ang mga hakbang na ginawa para makatulong na masiguro na tumpak ang mga ibinabalik na insight sa mga user, mataas ang kalidad, at mababa ang bilang ng mga false-positive.
  • Pag-aayos: Nakikipag-ugnayan ang Aardvark sa OpenAI Codex para makatulong sa pag-aayos ng mga kahinaan na natuklasan nito. Naglalakip ito ng binuo ng Codex at na-scan ng Aardvark na patch sa bawat natukoy na isyu para sa pagsusuri ng tao at mabilis na isang pag-click na pag-patch.

Ang Aardvark ay nagtatrabaho kasama ng mga engineer, nag-iintegrate sa GitHub, Codex, at umiiral na mga daloy ng trabaho para maghatid ng malinaw at maaksyong mga pananaw nang hindi pinapabagal ang pag-develop. Dahil ginawa ang Aardvark para sa seguridad, natuklasan namin sa aming pagsusuri na maaari rin itong magbunyag ng mga bug tulad ng mga depekto sa lohika, hindi kumpletong pag-aayos, at mga isyu sa pagkapribado.

Tunay na epekto, ngayon

Nasa serbisyo na nang ilang buwan ang Aardvark, na patuloy na tumatakbo sa mga panloob na codebase ng OpenAI at sa mga codebase ng mga panlabas na alpha partner. Sa loob ng OpenAI, lumitaw ang makabuluhang mga kahinaan at nag-ambag ito sa depensibong postura ng OpenAI. Binigyang-diin ng mga katuwang ang lalim ng kanilang pagsusuri, kung saan natuklasan ng Aardvark ang mga isyu na lumilitaw lang sa ilalim ng kumplikadong mga kondisyon.

Sa pagsusuri ng benchmark sa mga “golden” na repositoryo, natukoy ng Aardvark ang 92% ng mga kilala at sintetikong ipinakilalang kahinaan, na nagpapakita ng mataas na recall at pagiging epektibo sa totoong mundo.

Aardvark para sa Open Source

Ginamit na rin ang Aardvark sa mga open-source na proyekto, kung saan nakadiskubre ito at responsableng naibahagi namin ang maraming kahinaan—sampu rito ang nakatanggap ng Common Vulnerabilities and Exposures (CVE) na identifier.

Dahil nakinabang kami sa dekadang bukas na pananaliksik at responsableng pagbubunyag, determinado kaming magbigay-pabalik—nag-aambag ng mga tool at natuklasan para gawing mas ligtas ang digital ecosystem para sa lahat. Plano naming mag-alok ng pro-bono na pag-scan sa mga piling hindi pang-komersyal na open source na repositoryo para makatulong sa seguridad ng open source software ecosystem at supply chain.

Kamakailan naming binago ang aming patakaran sa papalabas na pinag-ugnay na pagsisiwalat na may paninindigang pabor sa mga developer, na nakatuon sa pakikipagtulungan at mas malawak na epekto, sa halip na mahigpit na mga iskedyul ng pagsisiwalat na maaaring magdulot ng presyon sa mga developer. Inaasahan namin na ang mga tool tulad ng Aardvark ay magreresulta sa pagtuklas ng mas maraming bug, at gusto naming makipagtulungan nang napapanatili para makamit ang pangmatagalang katatagan.

Bakit ito mahalaga

Ang software ngayon ang gulugod ng bawat industriya—na nangangahulugang ang mga kahinaan sa software ay isang sistematikong panganib sa mga negosyo, imprastraktura, at lipunan. Mahigit sa 40,000 CVE ang naiulat noong 2024 lang. Ipinapakita ng aming pagsusuri na mga 1.2% ng mga commit ay nagdadala ng mga bug—maliliit na pagbabago na maaaring magdulot ng malalaking epekto.

Kumakatawan ang Aardvark sa bagong modelo na una sa depensa: agentic na mananaliksik sa seguridad na nakikipagtulungan sa mga team sa pamamagitan ng pagbibigay ng tuloy-tuloy na proteksyon habang umuunlad ang code. Sa pamamagitan ng maagang pagtukoy ng mga kahinaan, pagpapatunay ng tunay na kakayahang ma-exploit, at pagbibigay ng malinaw na solusyon, mapapalakas ng Aardvark ang seguridad nang hindi pinapabagal ang inobasyon. Naniniwala kami sa pagpapalawak ng access sa kadalubhasaan sa seguridad. Nagsisimula kami sa pribadong beta at palalawakin ang availability habang natututo pa kami.

Bukas na ang private beta

Inaanyayahan namin ang piling mga partner na sumali sa pribadong beta ng Aardvark. Makakakuha ang mga kalahok ng maagang pag-access at makikipagtulungan nang direkta sa aming team para pagbutihin ang katumpakan ng pagtuklas, mga daloy ng trabaho ng pagpapatunay, at karanasan sa pag-uulat.

Naghahanap kami para mapatunayan ang pagganap sa iba't ibang kapaligiran. Kung ang iyong organisasyon o open source na proyekto ay interesado sa pagsali, puwede kang mag-apply dito.

May-akda

OpenAI

Mga Contributor

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight

Magpatuloy sa pagbabasa

Tingnan lahat
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Dreaming: Better memory for a more helpful ChatGPT

Pananaliksik

Rosalind5.5 ArtCard
Introducing new capabilities to GPT-Rosalind

Produkto

1 1 Art Card
Codex para sa bawat tungkulin, tool, at workflow

Produkto