Við kynnum Aardvark: öryggisrannsakanda OpenAI með fulltrúahlutverk
Nú á lokuðu beta-stigi: gervigreindarfulltrúi sem hugsar eins og öryggisrannsakandi og skalar til að mæta kröfum nútíma hugbúnaðar.
Í dag tilkynnum við Aardvark, sjálfstæðan öryggisrannsakanda knúinn af GPT‑5.
Hugbúnaðaröryggi er ein af mikilvægustu—og krefjandi—áskorunum í tækni. Á hverju ári uppgötvast tugþúsundir nýrra veikleika í kóðagrunnum fyrirtækja og opins hugbúnaðar. Varnaraðilar standa frammi fyrir því erfiða verkefni að finna og laga veikleika áður en andstæðingar þeirra gera það. Hjá OpenAI erum við að vinna að því að færa jafnvægið varnaraðilum í vil.
Aardvark táknar tímamót í rannsóknum á gervigreind og öryggi: sjálfvirkur fulltrúi sem getur hjálpað forriturum og öryggisteymum að uppgötva og laga öryggisveikleika í stórum stíl. Aardvark er nú fáanlegt í beta-útgáfu til að staðfesta og fínstilla getu þess á sínu sviði.
Aardvark greinir stöðugt kóðageymslur til að bera kennsl á veikleika, meta nýtingarmöguleika, forgangsraða alvarleika og leggja til markvissar lagfæringar.
Aardvark virkar með því að fylgjast með breytingum á kóðagrunnum, greina veikleika, hvernig þeir gætu verið nýttir og leggja til lausnir. Aardvark treystir ekki á hefðbundnar forritagreiningaraðferðir eins og fuzzing eða hugbúnaðarsamsetningargreiningu. Í staðinn notar það röksemdafærslu og verkfæri knúin af stórum tungumálalíkönum til að skilja hegðun kóða og bera kennsl á veikleika. Aardvark leitar að villum eins og mannlegur öryggisrannsakandi myndi gera: með því að lesa kóða, greina hann, skrifa og keyra prófanir, nota verkfæri og fleira.
Aardvark treystir á fjölþrepa ferli til að bera kennsl á, útskýra og laga veikleika:
- Greining: Það byrjar á því að greina alla geymsluna til að búa til ógnarlíkan sem endurspeglar skilning þess á öryggismarkmiðum og hönnun verkefnisins.
- Skönnun á breytingum: Það skannar eftir veikleikum með því að skoða breytingar á breytingastigi gagnvart allri geymslunni og hættulíkaninu þegar nýr kóði er settur inn. Þegar geymsla er fyrst tengd, mun Aardvark skanna feril hennar til að bera kennsl á núverandi vandamál. Aardvark útskýrir veikleikana sem það finnur skref fyrir skref, með því að skýra kóðann fyrir mannlega yfirferð.
- Staðfesting: Þegar Aardvark hefur greint hugsanlegan veikleika, mun það reyna að kalla fram veikleikann í einangruðu sandkassaumhverfi til að staðfesta nýtingarmöguleika hans. Aardvark lýsir þeim skrefum sem tekin eru til að tryggja að notendum séu skilaðar nákvæmum, hágæða innsýnum með lága tíðni falskra jákvæðra.
- Bætur: Aardvark samþættir við OpenAI Codex til að hjálpa við að laga veikleikana sem það finnur. Það festir Codex-myndaða og Aardvark-skannaða bót við hverja niðurstöðu fyrir mannlega yfirferð og skilvirka bót með einum smelli.
Aardvark vinnur með verkfræðingum, samþættir við GitHub, Codex og núverandi vinnuflæði til að skila skýrum, framkvæmanlegum innsýnum án þess að hægja á þróun. Þó að Aardvark sé hannað fyrir öryggi, höfum við í prófunum okkar komist að því að það getur einnig afhjúpað villur eins og rökfræðivillur, ófullkomnar lagfæringar og persónuverndarmál.
Aardvark hefur verið í notkun í nokkra mánuði, keyrt stöðugt á innri kóðagrunnum OpenAI og hjá utanaðkomandi alfa samstarfsaðilum. Innan OpenAI hafa komið í ljós þýðingarmiklir veikleikar sem hafa stuðlað að varnarstöðu OpenAI. Samstarfsaðilar hafa lagt áherslu á dýpt greiningar þess, þar sem Aardvark finnur vandamál sem koma aðeins upp við flóknar aðstæður.
Í viðmiðsprófunum á „gullnum“ geymslum greindi Aardvark 92% af þekktum og tilbúnum veikleikum, sem sýnir fram á mikla endurheimt og raunverulega virkni.
Aardvark hefur einnig verið notað á opin verkefni, þar sem það hefur uppgötvað og við höfum ábyrgt birt fjölda veikleika—tíu þeirra hafa fengið Common Vulnerabilities and Exposures (CVE) auðkenni.
Sem viðtakendur áratuga af opnum rannsóknum og ábyrgri birtingu, erum við skuldbundin til að gefa til baka—með því að leggja til verkfæri og niðurstöður sem gera stafræna vistkerfið öruggara fyrir alla. Við höfum áætlun um að bjóða upp á pro-bono skönnun fyrir valdar óviðskiptalegar opnar hugbúnaðargeymslur til að stuðla að öryggi vistkerfis opins hugbúnaðar og aðfangakeðjunnar.
Við uppfærðum nýlega stefnu okkar um samræmda upplýsingagjöf á útleið sem tekur forritaravæna afstöðu, með áherslu á samvinnu og stækkunarmöguleika, frekar en stífa tímalínu fyrir upplýsingagjöf sem getur sett forritara undir þrýsting. Við gerum ráð fyrir að verkfæri eins og Aardvark muni leiða til þess að fleiri villur uppgötvist, og viljum vinna saman á sjálfbæran hátt til að ná langtímaþoli.
Hugbúnaður er nú undirstaða allra atvinnugreina—sem þýðir að veikleikar í hugbúnaði eru kerfisbundin áhætta fyrir fyrirtæki, innviði og samfélag. Yfir 40.000 CVE voru tilkynnt árið 2024 einu saman. Prófanir okkar sýna að um 1,2% af breytingum á kóða koma með villur—litlar breytingar sem geta haft stór áhrif.
Aardvark endurspeglar nýtt varnaraðilalíkan: sjálfstæður öryggisrannsakandi sem vinnur með teymum með því að veita stöðuga vernd á meðan kóði þróast. Með því að finna veikleika snemma, staðfesta raunverulega nýtingarmöguleika og bjóða upp á skýrar lausnir getur Aardvark styrkt öryggi án þess að hægja á nýsköpun. Við trúum á að auka aðgang að öryggissérfræðiþekkingu. Við erum að byrja með einkaaðgang að beta-útgáfu og munum auka aðgengi eftir því sem við lærum meira.
Við erum að bjóða völdum samstarfsaðilum að taka þátt í einkaaðgangi að beta-útgáfu Aardvark. Þátttakendur munu fá snemmbúinn aðgang og vinna beint með teyminu okkar til að fínstilla nákvæmni greiningar, staðfestingarferla og skýrslugerðarupplifun.
Við erum að reyna að staðfesta frammistöðu í ýmsum umhverfum. Ef stofnunin þín eða opið verkefni þitt hefur áhuga á að taka þátt geturðu sótt um hér.
Höfundur
Þátttakendur
Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight
Haltu áfram að lesa
