Passer au contenu principal
OpenAI

30 octobre 2025

CybersécuritéProduitRechercheVersions

Présentation d’Aardvark : le chercheur en sécurité agentique d’OpenAI

Maintenant en bêta privée : un agent IA qui réfléchis comme un chercheur en sécurité et s'adapte aux exigences des logiciels modernes.

Chargement…

Aujourd'hui, nous annonçons Aardvark, un chercheur en sécurité agentique propulsé par GPT‑5.

La sécurité des logiciels est l'une des frontières les plus critiques et difficiles de la technologie. Chaque année, des dizaines de milliers de nouvelles vulnérabilités sont découvertes dans les bases de code des entreprises et des projets libre d'accès. Les défenseurs sont confrontés à la tâche ardue de détecter et de corriger les vulnérabilités avant que leurs adversaires ne les exploitent. Chez OpenAI, nous espérons leur donner un avantage décisif.

Aardvark représente une avancée majeure dans la recherche en IA et en sécurité : un agent autonome capable d'aider les développeurs et les équipes de sécurité à découvrir et corriger les vulnérabilités de sécurité à grande échelle. Aardvark est maintenant disponible en bêta privée pour valider et affiner ses capacités sur le terrain.

Comment fonctionne Aardvark

Aardvark analyse en continu les référentiels de code source pour identifier les vulnérabilités, évaluer leur exploitabilité, prioriser leur gravité et proposer des correctifs ciblés.

Aardvark fonctionne en surveillant les commits et les modifications des bases de code, en identifiant les vulnérabilités, comment elles pourraient être exploitées et en proposant des correctifs. Aardvark n’a pas recours aux techniques d’analyse traditionnelles telles que le fuzzing ou l’analyse de la composition logicielle. Au lieu de cela, il utilise le raisonnement alimenté par LLM et l'utilisation d'outils pour comprendre le comportement du code et identifier les vulnérabilités. Aardvark recherche les bogues comme le ferait un chercheur en sécurité humain : en lisant le code, en l'analysant, en rédigeant et exécutant des tests, en utilisant des outils, et plus encore.

Diagramme intitulé « AARDVARK — Workflow de l'agent de découverte de vulnérabilités » montrant un flux de processus allant du référentiel Git à la modélisation des menaces, à la découverte de vulnérabilités, à la sandbox de validation, à la correction avec Codex, et à l'examen humain menant à une demande de tirage.

Aardvark s'appuie sur un pipeline à plusieurs étapes pour identifier, expliquer et corriger les vulnérabilités :

  • Analyse: Il commence par analyser l'ensemble du référentiel pour produire un modèle de menaces reflétant sa compréhension des objectifs de sécurité et de la conception du projet.
  • Analyse des commits : elle recherche des vulnérabilités en inspectant les modifications au niveau des commits par rapport à l’ensemble du référentiel et au modèle de menaces à mesure que de nouveaux codes sont ajoutés. Lorsqu'un référentiel est d'abord connecté, Aardvark analysera son historique pour identifier les problèmes existants. Aardvark explique les vulnérabilités qu'il découvre étape par étape, en annotant le code pour qu'un humain puisse l'examiner.
  • Validation: Une fois qu'Aardvark a identifié une vulnérabilité potentielle, il tentera de la déclencher dans un environnement isolé et en sandbox pour confirmer son exploitabilité. Aardvark décrit les mesures prises pour garantir que les utilisateurs reçoivent des informations précises, de haute qualité et avec un faible taux de faux positifs.
  • Correction de bogues : Aardvark s’intègre à OpenAI Codex pour aider à corriger les vulnérabilités qu’il détecte. Il attache à chaque découverte un correctif généré par Codex et scanné par Aardvark pour une révision humaine et un patching efficace en un clic.

Aardvark collabore avec les ingénieurs et s'intègre à GitHub, Codex et aux flux de travail existants pour fournir des informations claires et exploitables sans ralentir le développement. Bien qu'Aardvark soit conçu pour la sécurité, nos tests ont révélé qu'il peut également détecter des bogues tels que des erreurs de logique, des correctifs incomplets et des problèmes de confidentialité.

Un impact réel, aujourd'hui

Aardvark est en service depuis plusieurs mois, fonctionnant en continu sur les bases de code internes d’OpenAI et celles de partenaires alpha externes. Il a ainsi mis en lumière de nombreuses vulnérabilités importantes chez OpenAI et contribué à sa posture de défense. Les partenaires ont souligné la profondeur de son analyse, Aardvark identifiant des problèmes qui ne se produisent que dans des conditions complexes.

Lors de tests de référence sur des référentiels « dorés », Aardvark a identifié 92 % des vulnérabilités connues et introduites de manière synthétique, démontrant un fort taux de rappel et une efficacité dans le monde réel.

Aardvark pour l'open source

Aardvark a également été appliqué à des projets open source, où il a découvert et nous avons divulgué de manière responsable de nombreuses vulnérabilités, dont dix ont reçu des identifiants CVE (Common Vulnerabilities and Exposures).

En tant que bénéficiaires de décennies de recherche ouverte et de divulgation responsable, nous nous engageons à redonner en contribuant des outils et des découvertes qui rendent l'écosystème numérique plus sûr pour tous. Nous avons un plan pour offrir des analyses pro bono à certains référentiels open source non commerciaux afin de contribuer à la sécurité de l'écosystème et de la chaîne d'approvisionnement des logiciels open source.

Nous avons récemment mis à jour notre politique de divulgation coordonnée des vulnérabilités, qui adopte une approche favorable aux développeurs, axée sur la collaboration et l'impact à grande échelle, plutôt que sur des délais de divulgation rigides pouvant exercer une pression sur les développeurs. Nous anticipons que des outils comme Aardvark permettront de découvrir un nombre croissant de bogues, et nous souhaitons collaborer de manière durable pour atteindre une résilience à long terme.

Pourquoi est-ce important

Le logiciel est aujourd’hui à la base de tous les secteurs, et les vulnérabilités posent donc un risque systémique aux entreprises, aux infrastructures et à la société dans son ensemble. Plus de 40 000 CVE ont été signalées rien qu’en 2024. Nos tests montrent qu’environ 1,2 % des commits introduisent des bogues, de petits changements pouvant avoir des conséquences disproportionnées.

Aardvark inaugure un nouveau modèle axé sur la défense : un chercheur en sécurité agentique qui collabore avec les équipes en fournissant une protection continue à mesure que le code évolue. En détectant les vulnérabilités tôt, en validant leur exploitabilité réelle et en offrant des correctifs clairs, Aardvark peut renforcer la sécurité sans ralentir l'innovation. Nous sommes persuadés que l’expertise en sécurité doit être plus largement accessible. Nous commençons par une bêta privée et élargirons la disponibilité à mesure que nous acquerrons de l'expérience.

Programme de bêta privée en cours

Nous invitons certains partenaires à rejoindre le programme de bêta privée d’Aardvark. Les participants bénéficieront d'un accès en avant-première et travailleront directement avec notre Team pour affiner la précision de la détection, les flux de validation et l'expérience de rapport.

Nous cherchons à valider les performances dans divers environnements. Si votre organisation ou votre projet open source est intéressé à se joindre, vous pouvez postuler ici.

Auteur

OpenAI

Contributeurs

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight

Poursuivez votre lecture

Afficher tout
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Dreaming: Better memory for a more helpful ChatGPT

Recherche

Rosalind5.5 ArtCard
Présentation de nouvelles capacités pour GPT-Rosalind

Produit

1 1 Art Card
Codex pour chaque rôle, outil et flux de travail

Produit