Անցնել հիմնական բովանդակությանը
OpenAI

30 հոկտեմբերի, 2025 թ.

ԱպահովությունԱրտադրանքՀետազոտություններԹողարկում

Ներկայացնում ենք Aardvark-ը՝ OpenAI-ի գործակալային անվտանգության հետազոտողը

Այժմ մասնավոր բետա տարբերակում. արհեստական բանականության գործակալ, որը մտածում է անվտանգության հետազոտողի պես և մասշտաբավորվում է՝ բավարարելու ժամանակակից ծրագրային ապահովման պահանջները։

Բեռնվում է…

Այսօր մենք հայտարարում ենք Aardvark-ի մասին՝ GPT‑5‑ի հիման վրա աշխատող ագենտային անվտանգության հետազոտող։

Ծրագրային ապահովման անվտանգությունը տեխնոլոգիայի ամենակարևոր և մարտահրավերներով լի առաջնագծերից մեկն է։ Ամեն տարի տասնյակ հազարավոր նոր խոցելիություններ են հայտնաբերվում ձեռնարկությունների և բաց կոդով կոդային բազաներում։ Պաշտպանները կանգնած են այն ահռելի առաջադրանքների առջև, ինչպիսիք են խոցելիությունների հայտնաբերումը և շտկումը, նախքան իրենց հակառակորդները դա անեն։ OpenAI-ում մենք աշխատում ենք այդ հավասարակշռությունը պաշտպանների օգտին թեքել։

Aardvark-ը ներկայացնում է առաջընթաց արհեստական բանականության և անվտանգության հետազոտություններում՝ ինքնավար ագենտ, որը կարող է օգնել ծրագրավորողներին և անվտանգության թիմերին մասշտաբային մակարդակով հայտնաբերել և շտկել անվտանգության խոցելիությունները։ Aardvark-ը այժմ հասանելի է մասնավոր բետա տարբերակում՝ իր հնարավորությունները ոլորտում հաստատելու և կատարելագործելու համար:

Ինչպես է գործում Aardvark-ը

Aardvark-ը շարունակաբար վերլուծում է աղբյուրի կոդի պահոցները՝ խոցելիությունները հայտնաբերելու, շահագործելիությունը գնահատելու, լրջության առաջնահերթությունը որոշելու և նպատակային պատչեր առաջարկելու համար։

Aardvark-ը գործում է հետևելով կոդային բազաների փոփոխություններին, հայտնաբերելով խոցելիությունները, ինչպես դրանք կարող են շահագործվել, և առաջարկելով լուծումներ: Aardvark-ը չի հիմնվում ավանդական ծրագրային վերլուծության մեթոդների վրա, ինչպիսիք են ֆազզինգը կամ ծրագրային կազմի վերլուծությունը: Փոխարենը, այն օգտագործում է LLM-ով խթանված հիմնավորում և գործիքների կիրառություն՝ կոդի վարքագիծը հասկանալու և խոցելիությունները հայտնաբերելու համար։ Aardvark-ը փնտրում է սխալներ այնպես, ինչպես կարող է անել մարդկային անվտանգության հետազոտողը՝ կարդալով կոդը, վերլուծելով այն, գրելով և կատարելով թեստեր, օգտագործելով գործիքներ և այլն։

«AARDVARK — Խոցելիությունների հայտնաբերման ագենտի աշխատանքային հոսք» վերնագրով դիագրամ, որը ցույց է տալիս գործընթացի հոսքը Git պահոցից սպառնալիքների մոդելավորում, խոցելիությունների հայտնաբերում, վավերացման սանդբոքս, Codex-ով շտկում և մարդկային վերանայում, որը հանգեցնում է pull request-ի։

Aardvark-ը հենվում է բազմափուլ խողովակաշարի վրա՝ խոցելիությունները հայտնաբերելու, բացատրելու և շտկելու համար:

  • Վերլուծություն: Այն սկսվում է ամբողջական պահոցը վերլուծելով՝ ստեղծելու սպառնալիքների մոդել, որը արտացոլում է նախագծի անվտանգության նպատակներն ու դիզայնի ըմբռնումը։
  • Հաստատման սկանավորում: Այն սկանավորում է խոցելիությունները՝ ստուգելով ամբողջ պահոցի և սպառնալիքի մոդելի հաստատման մակարդակի փոփոխությունները, երբ նոր կոդը հաստատվում է: Երբ պահոցը առաջին անգամ միացվում է, Aardvark-ը կսկանավորի իր պատմությունը՝ առկա խնդիրները հայտնաբերելու համար։ Aardvark-ը բացատրում է հայտնաբերված խոցելիությունները քայլ առ քայլ՝ կոդը նշելով մարդու վերանայման համար։
  • Վավերացում: Երբ Aardvark-ը հայտնաբերում է հնարավոր խոցելիություն, այն կփորձի այն գործարկել մեկուսացված, պաշտպանված միջավայրում՝ հաստատելու դրա շահագործելիությունը: Aardvark-ը նկարագրում է այն քայլերը, որոնք ձեռնարկվում են՝ ապահովելու համար, որ օգտատերերին վերադարձվեն ճշգրիտ, բարձրորակ և ցածր կեղծ դրական պատկերացումներ։
  • Պատչինգ: Aardvark-ը ինտեգրվում է OpenAI Codex-ի հետ՝ օգնելու շտկել այն խոցելիությունները, որոնք այն հայտնաբերում է: Այն կցում է Codex-ի գեներացրած և Aardvark-ի սկանավորած պատչը յուրաքանչյուր գտածոյին՝ մարդկային վերանայման և արդյունավետ, մեկ սեղմումով շտկման համար։

Aardvark-ը աշխատում է ինժեներների հետ՝ ինտեգրվելով GitHub-ի, Codex-ի և առկա աշխատանքային հոսքերի հետ՝ ապահովելով հստակ և գործնական պատկերացումներ՝ առանց դանդաղեցնելու մշակման գործընթացը։ Չնայած Aardvark-ը կառուցված է անվտանգության համար, մեր փորձարկումների ընթացքում մենք հայտնաբերել ենք, որ այն կարող է նաև բացահայտել սխալներ, ինչպիսիք են տրամաբանական թերությունները, անավարտ շտկումները և գաղտնիության խնդիրները:

Իրական ազդեցություն, այսօր

Aardvark-ը մի քանի ամիս է, ինչ գտնվում է ծառայության մեջ՝ անընդհատ աշխատելով OpenAI-ի ներքին կոդային բազաներում և արտաքին ալֆա գործընկերների կոդային բազաներում: OpenAI-ի շրջանակներում ի հայտ են եկել նշանակալի խոցելիություններ, որոնք նպաստել են OpenAI-ի պաշտպանական դիրքորոշմանը: Գործընկերները ընդգծել են դրա վերլուծության խորությունը, ընդ որում Aardvark-ը հայտնաբերել է խնդիրներ, որոնք ի հայտ են գալիս միայն բարդ պայմաններում:

«Ոսկե» պահոցներում հենանիշային փորձարկումների ժամանակ Aardvark-ը հայտնաբերել է հայտնի և սինթետիկորեն ներմուծված խոցելիությունների 92%-ը՝ ցուցադրելով բարձր հայտնաբերման մակարդակ և իրական աշխարհի արդյունավետություն:

Aardvark բաց կոդի համար

Aardvark-ը կիրառվել է նաև բաց կոդով նախագծերում, որտեղ այն հայտնաբերել է, և մենք պատասխանատու կերպով բացահայտել ենք բազմաթիվ խոցելիություններ, որոնցից տասը ստացել են ընդհանուր խոցելիությունների և բացահայտումների (CVE) նույնականացուցիչներ։

Որպես տասնամյակների բաց հետազոտությունների և պատասխանատու բացահայտման շահառուներ, մենք հանձնառու ենք վերադարձնել մեր գիտելիքները՝ ստեղծելով գործիքներ և արդյունքներ, որոնք թվային էկոհամակարգն ավելի անվտանգ են դարձնում բոլորի համար։ Մենք պլանավորում ենք առաջարկել պրո-բոնո սկանավորում ընտրված ոչ առևտրային բաց կոդով պահոցներին՝ նպաստելու բաց կոդով ծրագրային ապահովման էկոհամակարգի և մատակարարման շղթայի անվտանգությանը։

Մենք վերջերս թարմացրել ենք մեր ելքային համակարգված բացահայտման քաղաքականությունը, որը ծրագրավորողներին բարեկամական դիրքորոշում է ընդունում՝ կենտրոնանալով համագործակցության և մասշտաբային ազդեցության վրա, այլ ոչ թե խիստ բացահայտման ժամանակացույցերի վրա, որոնք կարող են ճնշում գործադրել ծրագրավորողների վրա։ Մենք ակնկալում ենք, որ Aardvark-ի նման գործիքները կհանգեցնեն ավելի շատ սխալների հայտնաբերմանը և ցանկանում ենք կայուն համագործակցել՝ երկարաժամկետ կայունություն ապահովելու համար:

Ինչու է դա կարևոր

Ծրագրային ապահովումն այժմ յուրաքանչյուր ոլորտի հիմքն է, ինչը նշանակում է, որ ծրագրային խոցելիությունները համակարգային ռիսկ են ներկայացնում բիզնեսի, ենթակառուցվածքների և հասարակության համար։ 2024թ. միայն հաղորդվել է ավելի քան 40000 CVE: Մեր թեստավորումը ցույց է տալիս, որ «commit»-ների մոտ 1,2%-ը ներմուծում է սխալներ՝ փոքր փոփոխություններ, որոնք կարող են ունենալ չափազանց մեծ հետևանքներ։

Aardvark-ը ներկայացնում է նոր պաշտպանական մոդել՝ գործակալական անվտանգության հետազոտող, որը համագործակցում է թիմերի հետ՝ ապահովելով շարունակական պաշտպանություն, երբ կոդը զարգանում է։ Վաղ փուլում հայտնաբերելով խոցելիությունները, ստուգելով իրական աշխարհում շահագործելիությունը և առաջարկելով հստակ լուծումներ, Aardvark-ը կարող է ամրապնդել անվտանգությունը՝ առանց դանդաղեցնելու նորարարությունը։ Մենք հավատում ենք, որ պետք է ընդլայնել անվտանգության փորձագիտական գիտելիքներին հասանելիությունը։ Մենք սկսում ենք մասնավոր բետա տարբերակով և կընդլայնենք հասանելիությունը՝ տեղեկանալուն պես։

Մասնավոր բետա տարբերակը այժմ բաց է

Մենք հրավիրում ենք ընտրված գործընկերներին միանալու Aardvark-ի մասնավոր բետա տարբերակին։ Մասնակիցները կստանան վաղաժամ մուտքի հնարավորություն և անմիջապես կաշխատեն մեր թիմի հետ՝ կատարելագործելու հայտնաբերման ճշգրտությունը, վավերացման աշխատանքային հոսքերը և հաշվետվությունների փորձը։

Մենք ցանկանում ենք հաստատել կատարողականությունը տարբեր միջավայրերում։ Եթե ձեր կազմակերպությունը կամ բաց կոդով նախագիծը հետաքրքրված է միանալ, կարող եք դիմել այստեղ։

Հեղինակ

OpenAI

Ներդրողներ

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight

Շարունակել կարդալ

Դիտել բոլորը
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Ավելի ամուր հիմք ChatGPT-ի հիշողության համար

Հետազոտություններ

Rosalind5.5 ArtCard
Ներկայացնում ենք GPT-Rosalind-ի նոր կարողությունները

Արտադրանք

1 1 Art Card
Codex՝ յուրաքանչյուր դերի, գործիքի և աշխատանքային հոսքի համար

Արտադրանք