Ugrás a fő tartalomra
OpenAI

2025. október 30.

KiberbiztonságTermékKutatásokKiadás

Bemutatkozik az Aardvark: az OpenAI ügynöki biztonsági kutatója

Most privát bétában: egy AI ügynök, amely úgy gondolkodik, akár egy biztonsági kutató, és képes skálázódni, hogy megfeleljen a modern szoftverek igényeinek.

Betöltés…

Ma bemutatjuk az Aardvarkot, egy ügynöki biztonsági kutatót, amelyet a GPT‑5 működtet.

A szoftverbiztonság a technológia egyik legkritikusabb és legnagyobb kihívást jelentő határterülete. Minden évben több tízezer új sebezhetőséget fedeznek fel a vállalati és nyílt forráskódú kódbázisokban. A biztonsági szakembereknek az a félelmetes feladatuk, hogy a sebezhetőségeket megtalálják és kijavítsák, mielőtt az ellenfeleik tennék meg. Az OpenAI-nál azon dolgozunk, hogy a mérleg a biztonságiak javára billenjen.

Az Aardvark áttörést jelent a mesterséges intelligencia és a biztonsági kutatások terén: egy autonóm ügynök, amely segíthet a fejlesztőknek és a biztonsági csapatoknak a biztonsági rések felfedezésében és kijavításában nagy léptékben. Az Aardvark most már elérhető privát béta verzióban, hogy érvényesítse és finomítsa képességeit a témában.

Hogyan működik az Aardvark?

Az Aardvark folyamatosan elemzi a forráskód-tárházakat, hogy azonosítsa a sebezhetőségeket, értékelje a kihasználhatóságot, rangsorolja a súlyosságot, és célzott javításokat javasoljon.

Az Aardvark úgy működik, hogy figyeli a kódalapokhoz tartozó commitokat és változásokat, azonosítja a sebezhetőségeket, azok kihasználási lehetőségeit, és javaslatokat tesz a kijavításra. Az Aardvark nem támaszkodik a hagyományos program-elemzési technikákra, mint például a fuzzing vagy a szoftverösszetétel-elemzés. Ehelyett LLM-alapú indoklást és eszközhasználatot alkalmaz a kód viselkedésének megértésére és a sebezhetőségek azonosítására. Az Aardvark úgy keresi a hibákat, mint egy emberi biztonsági kutató: kódot olvas, elemez, teszteket ír és futtat, eszközöket használ és így tovább.

Diagram, amelynek címe: „AARDVARK — Sebezhetőség-feltáró ügynök munkafolyamat”, amely egy folyamatábrát mutat a Git-tárhelytől a fenyegetésmodellezésen, sebezhetőség-felfedezésen, validációs homokozón, Codex-szel történő javításon és ember által végzett ellenőrzésen keresztül a pull requestig.

Az Aardvark egy többlépcsős folyamatra támaszkodik a sebezhetőségek azonosítására, magyarázatára és kijavítására:

  • Elemzés: A teljes adattár elemzésével kezd, hogy egy fenyegetésmodellt hozzon létre, amely tükrözi a projekt biztonsági célkitűzéseinek és tervezésének megértését.
  • Commit vizsgálat: A sebezhetőségek felderítését végzi azáltal, hogy a commit szintű változtatásokat vizsgálja az egész adattár és fenyegetési modell alapján, amikor új kódot commitálnak. Amikor egy repozitórium először csatlakozik, az Aardvark átvizsgálja az előzményeket, hogy azonosítsa a meglévő problémákat. Az Aardvark lépésről lépésre magyarázza el a talált sebezhetőségeket, és megjegyzésekkel látja el a kódot az ember által végzett ellenőrzéshez.
  • Érvényesítés: Miután az Aardvark azonosított egy potenciális sebezhetőséget, megpróbálja azt egy elkülönített, védett környezetben élesíteni, hogy megerősítse annak használhatóságát. Az Aardvark leírja azokat a lépéseket, amelyeket annak érdekében tesz, hogy pontos, magas színvonalú és alacsony hamis pozitív arányú betekintések kerüljenek a felhasználókhoz.
  • Javítás: Az Aardvark az OpenAI Codex-szel integrálva segít kijavítani az általa talált sebezhetőségeket. Minden megállapításhoz egy Codex által generált és Aardvark által szkennelt javítást csatol az emberi ellenőrzéshez és a hatékony, egykattintásos javításhoz.

Az Aardvark a mérnökökkel együttműködve integrálódik a GitHubbal, a Codexszel és a meglévő munkafolyamatokkal, hogy világos, cselekvésre ösztönző betekintéseket nyújtson anélkül, hogy lassítaná a fejlesztést. Bár az Aardvarkot a biztonság céljára tervezték, a tesztelés során azt találtuk, hogy képes feltárni olyan hibákat is, mint a logikai hibák, a nem teljeskörű javítások és az adatvédelmi problémák.

Valós hatás, most

Az Aardvark már több hónapja működik, folyamatosan fut az OpenAI belső kódbázisain és külső alfa partnerek kódbázisain. Az OpenAI-n belül jelentős sebezhetőségek kerültek felszínre, amelyek hozzájárultak az OpenAI védekező helyzetéhez. A partnerek kiemelték az elemzés mélységét, és az Aardvark olyan problémákat talált, amelyek csak összetett körülmények között fordulnak elő.

Az „arany” repókon végzett benchmark tesztelés során az Aardvark a már ismert és szintetikusan bevezetett sebezhetőségek 92%-át azonosította, ami magas találati arányt és valós hatékonyságot mutat.

Aardvark az Open Source-hoz

Az Aardvarkot nyílt forráskódú projektekben is alkalmazták, ahol számos sebezhetőséget fedezett fel, amelyeket felelősségteljesen nyilvánosságra hoztunk – ezek közül tíz kapott Common Vulnerabilities and Exposures (CVE) azonosítót.

Mivel mi is az évtizedes nyílt kutatások és felelős hibabejelentések előnyeit élvezzük, elkötelezettek vagyunk amellett, hogy viszonozzuk: eszközökkel és eredményekkel járulunk hozzá, amelyek mindenki számára biztonságosabbá teszik a digitális ökoszisztémát. Az a tervünk, hogy pro bono szkennelést kínálunk kiválasztott nem kereskedelmi nyílt forráskódú adattáraknak, hogy hozzájáruljunk a nyílt forráskódú szoftver ökoszisztéma és ellátási lánc biztonságához.

Nemrégiben frissítettük a kimenő koordinált nyilvánosságra hozatali szabályzatunkat, amely fejlesztőbarát álláspontot képvisel, az együttműködésre és a skálázható hatásra összpontosítva, a fejlesztőkre nehezedő merev közzétételi határidők helyett. Arra számítunk, hogy az olyan eszközök, mint az Aardvark, egyre több hibát fognak felfedezni, és fenntartható módon szeretnénk együttműködni a hosszú távú biztonsági stabilitás elérése érdekében.

Miért fontos

A szoftver ma már minden iparág gerince, ami azt jelenti, hogy a szoftver sebezhetőségei rendszerszintű kockázatot jelentenek a vállalkozásokra, az infrastruktúrára és a társadalomra nézve. 2024-ben több mint 40 000 CVE-t jelentettek be. Tesztelésünk azt mutatja, hogy a commitok körülbelül 1,2%-a hibákat vezet be—apró változtatásokat, amelyek aránytalanul nagy következményekkel járhatnak.

Az Aardvark egy új, védelmező-központú modellt képvisel: egy ügynöki biztonsági kutató, aki a csapatokkal együttműködve folyamatos védelmet biztosít, ahogy a kód fejlődik. Az Aardvark azáltal, hogy korán felismeri a sebezhetőségeket, ellenőrzi azok valós kihasználhatóságát, és egyértelmű javításokat kínál, képes erősíteni a biztonságot az innováció lassítása nélkül. Hiszünk abban, hogy a biztonsági szakértelemhez való hozzáférést szélesíteni kell. Egy privát béta verzióval kezdünk, és ahogy tanulunk, szélesítjük az elérhetőséget.

Privát béta már elérhető

Kiválasztott partnereket hívunk meg, hogy csatlakozzanak az Aardvark privát bétához. A résztvevők korai hozzáférést kapnak, és közvetlenül együttműködhetnek a csapatunkkal a detektálási pontosság, a validációs munkafolyamatok és a jelentési élmény finomítása érdekében.

Arra törekszünk, hogy a teljesítményt különböző környezetekben ellenőrizzük. Ha a szervezeted vagy nyílt forráskódú projekted érdeklődik a csatlakozás iránt, itt jelentkezhetsz.

Szerző

OpenAI

Közreműködők

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu és Matt Knight

Olvass tovább

Összes megtekintése
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Dreaming: Better memory for a more helpful ChatGPT

Kutatások

Rosalind5.5 ArtCard
Új funkciók bevezetése a GPT-Rosalindbe

Termék

1 1 Art Card
Codex minden szerepkörhöz, eszközhöz és munkafolyamathoz

Termék