पेश है Aardvark: OpenAI का एजेंटिक सिक्यूरिटी रिसर्चर

आज, हम Aardvark का ऐलान कर रहे हैं, जो GPT‑5 की मदद से काम करने वाला एक एजेंटिक सिक्यूरिटी रिसर्चर है.

सॉफ़्टवेयर सिक्यूरिटी, टेक्नोलॉजी के क्षेत्र में सबसे अहम—और चुनौतीपूर्—क्षेत्रों में से एक है. हर साल, एंटरप्राइज़ और ओपन-सोर्स कोडबेसेस में हज़ारों नई कमज़ोरियां पाई जाती हैं. डिफ़ेंडर्स के सामने ये मुश्किल काम होता है कि वे अपने विरोधियों से पहले कमज़ोरियों को खोजें और उन्हें ठीक करें. OpenAI में, हम उस बैलेंस को डिफ़ेंडर्स के पक्ष में झुकाने के लिए काम कर रहे हैं.

Aardvark AI और सिक्यूरिटी रिसर्च में एक बड़ी सफ़लता को रिप्रेज़ेंट करता है: एक ऑटोनोमस एजेंट जो डेवलपर्स और सुरक्षा टीमों को बड़े पैमाने पर सुरक्षा कमज़ोरियों को खोजने और ठीक करने में मदद कर सकता है. Aardvark अब इस फ़ील्ड में अपनी कैपेबिलिटीज़ को वैलिडेट और बेहतर करने के लिए प्राइवेट बीटा में उपलब्ध है.

Aardvark कमज़ोरियों की पहचान करने, शोषण क्षमता का आंकलन करने, गंभीरता को प्रायोरिटाइज़ करने, और टार्गेटेड पैच प्रपोज़ करने के लिए सोर्स कोड रिपॉज़िटरी को लगातार एनालाइज़ करता है.

Aardvark कोडबेसेस में किए गए कमिट्स और बदलावों को मॉनिटर करके, कमज़ोरियों की पहचान करके, बताता है कि उनका गलत इस्तेमाल कैसे हो सकता है, और उनके समाधान के लिए सुझाव देकर काम करता है. Aardvark फ़ज़िंग या सॉफ़्टवेयर कम्पोज़ीशन एनालिसिस जैसी पारंपरिक प्रोग्राम एनालिसिस तकनीकों पर निर्भर नहीं करता है. इसके बजाय, ये कोड बिहेवियर को समझने और कमज़ोरियों की पहचान करने के लिए LLM-आधारित रीज़निंग और टूल-यूसेज का इस्तेमाल करता है. Aardvark एक ह्यूमन सिक्यूरिटी रिसर्चर की तरह ही बग्स की तलाश करता है: कोड पढ़कर, उसे एनालाइज़ करके, टेस्ट लिखकर और रन करके, टूल्स का इस्तेमाल करके, और दूसरे कई तरीकों से.

Aardvark कमज़ोरियों की पहचान करने, उन्हें समझाने और ठीक करने के लिए एक मल्टी-स्टेज पाइपलाइन पर निर्भर करता है:

• एनालिसिस: इसकी शुरुआत सम्पूर्ण रिपोज़िटरी को एनालाइज़ करके होती है, ताकि प्रोजेक्ट के सुरक्षा उद्देश्यों और डिज़ाइन की समझ को रिफ़्लेक्ट करने वाला एक थ्रेट मॉडल तैयार किया जा सके.
• कमिट स्कैनिंग: ये नए कोड के कमिटध होने पर संपूर्ण रिपॉज़िटरी और थ्रेट मॉडल के खिलाफ़ कमिट-लेवल के बदलावों की जांच करके कमज़ोरियों को स्कैन करता है. जब कोई रिपॉज़िटरी पहली बार कनेक्ट होती है, तो Aardvark मौजूदा समस्याओं की पहचान करने के लिए उसकी हिस्टरी को स्कैन करेगा. Aardvark स्टेप-बाय-स्टेप पाई गई कमज़ोरियों के बारे में बताता है, और ह्यूमन रिव्यु के लिए कोड समझाता है.
• वैलिडेशन: एक बार जब Aardvark किसी संभावित कमज़ोरी की पहचान कर लेता है, तो वो उसका कितना फ़ायदा उठाया जा सकता है, इसके बारे में कन्फ़र्म करने के लिए उसे एक अलग, सैंडबॉक्स वाले एनवायर्नमेंट में ट्रिगर करने की कोशिश करेगा. Aardvark ने उन स्टेप्स के बारे में बताया है जो ये पक्का करने में मदद करते हैं कि यूज़र्स को सटीक, हाई-क्वालिटी वाली और झूठी-पॉज़िटिव जानकारी कम मिले.
• पैचिंग: Aardvark OpenAI Codex के साथ इंटीग्रेट होकर पाई गई कमज़ोरियों को ठीक करने में मदद करता है. ये ह्यूमन रिव्यु और एफ़िशिएंट, वन-क्लिक पैचिंग के लिए हरेक नतीजे के साथ Codex-जेनरेटेड और Aardvark-स्कैन किए गए पैच को जोड़ता है.

Aardvark इंजीनियर्स के साथ मिलकर काम करता है, और डेवलपमेंट को धीमा किए बिना क्लियर, एक्शन लेने लायक जानकारी प्रदान करने के लिए GitHub, Codex और मौजूदा वर्कफ़्लोज़ के साथ इंटीग्रेट करता है. हालांकि Aardvark को सिक्यूरिटी के लिए बनाया गया है, लेकिन हमारी टेस्टिंग में हमने पाया है कि ये लॉजिक से जुड़ी खामियों, अधूरे सुधारों, और प्रोवाच्य से जुड़ी समस्याओं जैसे बग्स को भी उजागर कर सकता है.

Aardvark कई महीनों से सर्विस में है, और OpenAI के इंटर्नल कोडबेसेस और बाहरी अल्फ़ा पार्टनर्स के कोडबेसेस पर लगातार चल रहा है. OpenAI के अंदर, इसने अहम कमज़ोरियों की पहचान करके निकाला है और OpenAI की डिफ़ेंसिव स्थिति में योगदान दिया है. पार्टनर्स ने इसकी एनालिसिस की गहराई को हाईलाइट किया है, जिसमें Aardvark ने ऐसे मुद्दे पाए हैं जो सिर्फ़ कॉम्प्लेक्स कंडीशन्स में ही होते हैं.

"गोल्डन" रिपॉज़िटरीज़ पर बेंचमार्क टेस्टिंग में, Aardvark ने जानी-पहचानी और सिंथेटिक तरीके से जोड़ी गई 92% कमज़ोरियों की पहचान की, जिससे ये साबित हुआ कि ये वाकई सटीक और प्रभावी है.

Aardvark का इस्तेमाल ओपन-सोर्स प्रोजेक्ट्स में भी किया गया है, जहां इसने अनेक कमज़ोरियां ढूंढ निकाली और हमने ज़िम्मेदारी से उनका खुलासा किया है—जिनमें से दस को कॉमन वल्नरेबिलिटीज़ एंड एक्सपोज़र्स (CVE) आइडेंटिफ़ायर्स मिले हैं.

दशकों की ओपन रिसर्च और ज़िम्मेदार डिस्क्लोज़र के लाभार्थियों के तौर पर, हम वापस लौटाने के लिए प्रतिबद्ध हैं—ऐसे टूल्स और नतीजे देने के लिए जो डिजिटल इकोसिस्टम को सभी के लिए सुरक्षित बनाते हैं. हम ओपन सोर्स सॉफ़्टवेयर इकोसिस्टम और सप्लाई चेन की सुरक्षा में योगदान देने के लिए चुनिंदा नॉन-कमर्शियल ओपन सोर्स रिपॉज़िटरी को मुफ़्त स्कैनिंग की पेशकश करने का प्लैन कर रहे हैं.

हमने हाल ही में अपनी आउटबाउंड को-ऑर्डिनेटेड डिस्क्लोज़र पॉलिसी⁠ को अपडेट किया है⁠, जो डेवलपर-फ़्रेंड्ली रुख अपनाती है, कोलैबोरेशन और बड़े पैमाने पर असर करने पर फ़ोकस करती है, न कि सख्त डिस्क्लोज़र टाइमलाइन्स पर जो डेवलपर्स पर दबाव डाल सकती है. हम आशा करते हैं कि Aardvark जैसे टूल्स के कारण ज़्यादा संख्या में बग्स ढूंढें जा सकेंगे, और हम लॉन्ग-टर्म रेज़िलिएंस पाने के लिए लगातार कोलैबोरेशन करना चाहते हैं.

सॉफ़्टवेयर अब हर इंडस्ट्री की रीढ़ है—जिसका मतलबथ है कि सॉफ़्टवेयर की कमज़ोरियां बिज़नेसेस, इंफ़्रास्ट्रक्चर, और समाज के लिए एक सिस्टमिक रिस्क हैं. अकेले 2024 में 40,000 से भी ज़्यादा CVE रिपोर्ट की गईं. हमारी टेस्टिंग से पता चलता है कि लगभग 1.2% कमिट्स में बग्स होते हैं—छोटे बदलाव जिनके नतीजे बहुत बड़े हो सकते हैं.

Aardvark एक नए डिफ़ेंडर-फ़र्स्ट मॉडल को रिप्रेज़ेंट करता है: एक एजेंटिक सिक्यूरिटी रिसर्चर जो कोड के उभरने के साथ-साथ लगातार सुरक्षा प्रदान करके टीमों के साथ पार्टनरशिप करता है. कमज़ोरियों को जल्दी पकड़ कर, असली दुनिया द्वारा उनका कितना फ़ायदा उठाया जा सकता है, इसके बारे में कन्फ़र्म करके, और क्लियर समाधान प्रस्तुत करके, Aardvark इनोवेशन को धीमा किए बिना सिक्यूरिटी को मज़बूत कर सकता है. हम सिक्यूरिटी की ख़ास जानकारी के लिए एक्सेस बढ़ाने में विश्वास करते हैं. हम एक प्राइवेट बीटा के साथ शुरुआत कर रहे हैं और जैसे-जैसे हमें जानकारी मिलेगी, उपलब्धता बढ़ाते जाएंगे.

हम चुनिंदा पार्टनर्स को Aardvark प्राइवेट बीटा में शामिल होने के लिए इन्वाईट कर रहे हैं. प्रतिभागियों को जल्द एक्सेस मिलेगी और वे हमारी टीम के साथ सीधे काम करके डिटेक्शन एक्यूरेसी, वैलिडेशन वर्कफ़्लोज़ और रिपोर्टिंग अनुभव को और बेहतर कर सकेंगे.

हम अलग-अलग एन्वायर्नमेंट्स में परफ़ॉर्मेंस को वैलिडेट करने की कोशिश कर रहे हैं. अगर आपका ऑर्गनाइज़ेशन या ओपन सोर्स प्रोजेक्ट इसमें शामिल होने में दिलचस्पी रखता है, तो आप यहां अप्लाई कर सकते हैं⁠.