წარმოგიდგენთ Aardvark-ს: OpenAI-ის აგენტურ უსაფრთხოების მკვლევარს

განახლება, 6 მარტი, 2026: Aardvark ახლა Codex Security-ია და ხელმისაწვდომია კვლევითი წინასწარი ვერსიის სახით.

Aardvark ახლა პირდაპირაა ჩაშენებული Codex-ში, როგორც Codex Security, და ეტაპობრივად ხელმისაწვდომი ხდება ChatGPT Enterprise, Business და Edu მომხმარებლებისთვის Codex web-ის მეშვეობით, მომდევნო ერთი თვის განმავლობაში უფასო გამოყენებით. გთხოვთ, იხილოთ ჩვენი ბლოგი აქ.⁠

დღეს წარმოგიდგენთ Aardvark-ს, GPT‑5‑ზე დაფუძნებულ აგენტურ უსაფრთხოების მკვლევარს.

პროგრამული უზრუნველყოფის უსაფრთხოება ტექნოლოგიაში ერთ-ერთი ყველაზე კრიტიკული და ამავე დროს ყველაზე რთული მოწინავე სფეროა. ყოველწლიურად ათიათასობით ახალი მოწყვლადობა ვლინდება როგორც საწარმოო, ისე ღია კოდის კოდურ ბაზებში. დამცველებს ურთულესი ამოცანები აქვთ: იპოვონ და გამოასწორონ მოწყვლადობები მანამდე, სანამ ამას მათი მოწინააღმდეგეები გააკეთებენ. OpenAI-ში ვმუშაობთ, რომ ეს ბალანსი დამცველების სასარგებლოდ შევცვალოთ.

Aardvark AI-ისა და უსაფრთხოების კვლევაში გარღვევას წარმოადგენს: ავტონომიური აგენტი, რომელიც დეველოპერებსა და უსაფრთხოების გუნდებს მასშტაბურად ეხმარება უსაფრთხოების მოწყვლადობების აღმოჩენასა და გამოსწორებაში. Aardvark ახლა ხელმისაწვდომია კერძო ბეტაში, რათა რეალურ გარემოში დადასტურდეს და დაიხვეწოს მისი შესაძლებლობები.

Aardvark უწყვეტად აანალიზებს საწყისი კოდის რეპოზიტორიუმებს, რათა გამოავლინოს მოწყვლადობები, შეაფასოს ექსპლუატირებადობა, განსაზღვროს პრიორიტეტები სერიოზულობის მიხედვით და შემოგვთავაზოს მიზანმიმართული პატჩები.

Aardvark მუშაობს ისე, რომ აკვირდება კომიტებსა და კოდური ბაზების ცვლილებებს, ადგენს მოწყვლადობებს, მათი ექსპლუატაციის შესაძლო გზებს და სთავაზობს გამოსწორებებს. Aardvark არ ეყრდნობა პროგრამების ანალიზის ტრადიციულ ტექნიკებს, როგორიცაა fuzzing ან software composition analysis. ამის ნაცვლად, ის იყენებს LLM-ზე დაფუძნებულ მსჯელობას და ხელსაწყოების გამოყენებას, რათა გაიგოს კოდის ქცევა და გამოავლინოს მოწყვლადობები. Aardvark შეცდომებს ისე ეძებს, როგორც ამას ადამიანი უსაფრთხოების მკვლევარი გააკეთებდა: კოდის წაკითხვით, ანალიზით, ტესტების დაწერით და გაშვებით, ხელსაწყოების გამოყენებით და სხვა გზებით.

Aardvark მრავალსაფეხურიან მილსადენს ეყრდნობა მოწყვლადობების გამოსავლენად, ასახსნელად და გამოსასწორებლად:

• ანალიზი: პროცესი იწყება სრული რეპოზიტორიუმის ანალიზით, რათა შეიქმნას საფრთხის მოდელი, რომელიც ასახავს მის გაგებას პროექტის უსაფრთხოების მიზნებისა და დიზაინის შესახებ.
• კომიტების სკანირება: ის მოწყვლადობებს ეძებს კომიტის დონის ცვლილებების შემოწმებით მთელ რეპოზიტორიუმსა და საფრთხის მოდელთან მიმართებით, როცა ახალი კოდი ემატება. როცა რეპოზიტორიუმი პირველად უკავშირდება, Aardvark მის ისტორიას დაასკანირებს არსებული პრობლემების გამოსავლენად. Aardvark ნაპოვნ მოწყვლადობებს ეტაპობრივად ხსნის და კოდს ადამიანის მიმოხილვისთვის ანოტაციებს ურთავს.
• ვალიდაცია: მას შემდეგ, რაც Aardvark პოტენციურ მოწყვლადობას გამოავლენს, ის შეეცდება მის გააქტიურებას იზოლირებულ, სენდბოქსირებულ გარემოში, რათა დაადასტუროს მისი ექსპლუატირებადობა. Aardvark აღწერს გადადგმულ ნაბიჯებს, რათა მომხმარებლებს დაუბრუნდეს ზუსტი, მაღალი ხარისხის და ცრუ დადებითი შედეგების დაბალი მაჩვენებლის მქონე დასკვნები.
• პატჩირება: Aardvark ინტეგრირდება OpenAI Codex-თან, რათა დაეხმაროს მის მიერ აღმოჩენილი მოწყვლადობების გამოსწორებაში. ის თითოეულ მიგნებას ურთავს Codex-ის მიერ გენერირებულ და Aardvark-ის მიერ შემოწმებულ პატჩს ადამიანის მიმოხილვისა და ეფექტური, ერთი დაწკაპუნებით პატჩირებისთვის.

Aardvark ინჟინრების გვერდით მუშაობს და GitHub-თან, Codex-თან და არსებულ სამუშაო პროცესებთან ინტეგრაციით აწვდის მკაფიო, ქმედით ინსაითებს განვითარების შენელების გარეშე. მიუხედავად იმისა, რომ Aardvark უსაფრთხოებისთვის არის შექმნილი, ჩვენმა ტესტირებამ აჩვენა, რომ მას ასევე შეუძლია გამოავლინოს შეცდომები, როგორიცაა ლოგიკური ხარვეზები, არასრული გამოსწორებები და კონფიდენციალურობის საკითხები.

Aardvark უკვე რამდენიმე თვეა მუშაობს უწყვეტ რეჟიმში როგორც OpenAI-ის შიდა კოდურ ბაზებზე, ისე გარე ალფა-პარტნიორების ბაზებზე. OpenAI-ის შიგნით მან მნიშვნელოვანი მოწყვლადობები გამოავლინა და წვლილი შეიტანა OpenAI-ის თავდაცვით პოზიციაში. პარტნიორებმა განსაკუთრებით აღნიშნეს მისი ანალიზის სიღრმე — Aardvark-მა იპოვა პრობლემები, რომლებიც მხოლოდ რთულ პირობებში ჩნდება.

„საორიენტაციო“ რეპოზიტორიუმებზე ჩატარებულ საორიენტაციო ტესტირებაში Aardvark-მა ცნობილი და სინთეტიკურად შეტანილი მოწყვლადობების 92% გამოავლინა, რითაც აჩვენა მაღალი დაფარვა და რეალურ სამყაროში ეფექტიანობა.

Aardvark ასევე გამოყენებულია ღია კოდის პროექტებზე, სადაც მან აღმოაჩინა მრავალი მოწყვლადობა, რომლებიც ჩვენ პასუხისმგებლობით გავასაჯაროეთ — მათგან ათს მინიჭებული აქვს Common Vulnerabilities and Exposures (CVE) იდენტიფიკატორები.

როგორც ათწლეულების ღია კვლევისა და პასუხისმგებლიანი გამჟღავნების ბენეფიციარები, ვალდებულად მივიჩნევთ, რომ ჩვენი წვლილი შევიტანოთ — შევქმნათ ხელსაწყოები და გავაზიაროთ მიგნებები, რომლებიც ციფრულ ეკოსისტემას ყველასთვის უფრო უსაფრთხოს გახდის. ვგეგმავთ შერჩეული არაკომერციული ღია კოდის რეპოზიტორიუმებისთვის pro-bono სკანირების შეთავაზებას, რათა ხელი შევუწყოთ ღია კოდის პროგრამული ეკოსისტემისა და მიწოდების ჯაჭვის უსაფრთხოებას.

ჩვენ ცოტა ხნის წინ განვაახლეთ⁠ ჩვენი გამავალი კოორდინირებული გამჟღავნების პოლიტიკა⁠, რომელიც დეველოპერებისთვის მეგობრულ მიდგომას ეფუძნება და ფოკუსირებულია თანამშრომლობასა და მასშტაბურ გავლენაზე, ვიდრე გამჟღავნების მკაცრ ვადებზე, რომლებმაც შეიძლება დეველოპერებზე ზეწოლა მოახდინოს. ველით, რომ Aardvark-ის მსგავსი ხელსაწყოები შეცდომების მზარდი რაოდენობის აღმოჩენას გამოიწვევს, და გვსურს მდგრადი თანამშრომლობით მივაღწიოთ გრძელვადიან გამძლეობას.

პროგრამული უზრუნველყოფა ახლა ყველა ინდუსტრიის საფუძველია — რაც ნიშნავს, რომ პროგრამული მოწყვლადობები სისტემურ რისკს ქმნის ბიზნესისთვის, ინფრასტრუქტურისთვის და საზოგადოებისთვის. მხოლოდ 2024 წელს 40,000-ზე მეტი CVE დაფიქსირდა. ჩვენი ტესტირება აჩვენებს, რომ კომიტების დაახლოებით 1.2% შეიცავს შეცდომებს — მცირე ცვლილებებს, რომლებსაც არაპროპორციულად დიდი შედეგები შეიძლება მოჰყვეს.

Aardvark წარმოადგენს დამცველებზე ორიენტირებულ ახალ მოდელს: აგენტურ უსაფრთხოების მკვლევარს, რომელიც გუნდებთან პარტნიორობს და კოდის ევოლუციის პარალელურად უწყვეტ დაცვას უზრუნველყოფს. მოწყვლადობების ადრეულ ეტაპზე აღმოჩენით, რეალურ გარემოში ექსპლუატირებადობის დადასტურებით და მკაფიო გამოსწორებების შეთავაზებით, Aardvark-ს შეუძლია გააძლიეროს უსაფრთხოება ინოვაციის შენელების გარეშე. ჩვენ გვჯერა უსაფრთხოების ექსპერტიზაზე წვდომის გაფართოების. ვიწყებთ კერძო ბეტით და მიღებული გამოცდილების საფუძველზე ხელმისაწვდომობას გავაფართოებთ.

შერჩეულ პარტნიორებს ვიწვევთ Aardvark-ის კერძო ბეტაში ჩასართავად. მონაწილეები მიიღებენ ადრეულ წვდომას და უშუალოდ ითანამშრომლებენ ჩვენს გუნდთან აღმოჩენის სიზუსტის, ვალიდაციის სამუშაო პროცესებისა და ანგარიშგების გამოცდილების დასახვეწად.

გვინდა დავადასტუროთ წარმადობა სხვადასხვა ტიპის გარემოში. თუ თქვენი ორგანიზაცია ან ღია კოდის პროექტი დაინტერესებულია მონაწილეობით, შეგიძლიათ განაცხადი აქ შეავსოთ⁠.