Aardvark-ийг танилцуулж байна: OpenAI-ийн агент хэлбэрийн аюулгүй байдлын судлаач

2026 оны 3-р сарын 6-ны шинэчлэлт: Aardvark одоо Codex Security болсон бөгөөд судалгааны preview хэлбэрээр ашиглах боломжтой.

Aardvark одоо Codex-д шууд Codex Security нэрээр бүтээгдсэн бөгөөд ирэх нэг сарын турш үнэгүй хэрэглээтэйгээр Codex web-ээр дамжин ChatGPT Enterprise, Business, Edu хэрэглэгчдэд нэвтрүүлж байна. Манай блогийг эндээс⁠

Өнөөдөр бид GPT‑5‑аар ажилладаг, агент хэлбэрийн аюулгүй байдлын судлаач Aardvark-ийг танилцуулж байна.

Програм хангамжийн аюулгүй байдал бол технологийн хамгийн чухал бөгөөд хамгийн хэцүү хил хязгааруудын нэг юм. Жил бүр байгууллагын болон нээлттэй эхийн кодын сангуудаас хэдэн арван мянган шинэ эмзэг байдал илэрдэг. Хамгаалагчид өрсөлдөгчдөөсөө өмнө эмзэг байдлыг олж, нөхөх хүнд даалгавартай тулгардаг. OpenAI-д бид энэ тэнцвэрийг хамгаалагчдын талд эргүүлэхээр ажиллаж байна.

Aardvark нь AI болон аюулгүй байдлын судалгааны томоохон ахиц юм: хөгжүүлэгчид болон аюулгүй байдлын багуудад өргөн цар хүрээнд аюулгүй байдлын эмзэг байдлыг илрүүлж, засахад туслах чадвартай бие даасан агент. Aardvark одоо бодит орчинд чадварыг нь баталгаажуулж, сайжруулахын тулд хувийн бета шатанд байна.

Aardvark эх кодын репозиторуудад тасралтгүй дүн шинжилгээ хийж эмзэг байдлыг илрүүлэх, ашиглагдах боломжийг үнэлэх, ноцтой байдлыг эрэмбэлэх, зорилтот нөхөөс санал болгодог.

Aardvark нь кодын сангийн commit болон өөрчлөлтүүдийг хянаж, эмзэг байдал, тэдгээрийг хэрхэн ашиглаж болох, мөн засварын саналуудыг илрүүлэх замаар ажилладаг. Aardvark fuzzing эсвэл software composition analysis зэрэг уламжлалт програмын шинжилгээний аргуудад тулгуурладаггүй. Үүний оронд кодын зан үйлийг ойлгож, эмзэг байдлыг илрүүлэхийн тулд Том хэлний загвар (LLM)-аар ажилладаг сэтгэн бодох чадвар болон хэрэгсэл ашиглалтыг ашигладаг. Aardvark нь хүний аюулгүй байдлын судлаачийн адил код унших, шинжлэх, тест бичих ба ажиллуулах, хэрэгсэл ашиглах зэрэг аргаар алдааг хайдаг.

Aardvark нь эмзэг байдлыг илрүүлэх, тайлбарлах, засахын тулд олон шатлалт pipeline-д тулгуурладаг:

• Шинжилгээ: Төсөлд тавигдсан аюулгүй байдлын зорилго болон загварын талаарх ойлголтыг тусгасан аюулын загварыг гаргахын тулд эхлээд бүх репозиторид дүн шинжилгээ хийнэ.
• Commit скан: Шинэ код commit хийгдэх үед commit түвшний өөрчлөлтүүдийг бүх репозитор болон аюулын загвартай харьцуулан шалгаж эмзэг байдлыг хайдаг. Репозиторыг анх холбоход Aardvark өмнөх түүхийг нь шалгаж, одоо байгаа асуудлуудыг илрүүлнэ. Aardvark олсон эмзэг байдлаа алхам алхмаар тайлбарлаж, кодыг хүний хяналтад зориулан тэмдэглэж өгдөг.
• Баталгаажуулалт: Aardvark боломжит эмзэг байдал илрүүлмэгц түүнийг тусгаарлагдсан, sandbox орчинд өдөөж, ашиглагдах боломжтой эсэхийг баталгаажуулахыг оролдоно. Aardvark хэрэглэгчдэд үнэн зөв, өндөр чанартай, хуурамч эерэг багатай мэдээлэл хүргэхэд туслахын тулд хийсэн алхмуудаа тайлбарладаг.
• Нөхөөс хийх: Aardvark илрүүлсэн эмзэг байдлуудыг засахад туслахын тулд OpenAI Codex-тэй нэгтгэгддэг. Олдвор бүр дээр Codex-оор үүсгэсэн, Aardvark-аар шалгасан нөхөөсийг хүний хяналт болон нэг товшилтоор үр ашигтай нөхөөс хийхэд зориулан хавсаргадаг.

Aardvark нь инженерүүдтэй хамтран ажиллаж, GitHub, Codex болон одоо байгаа ажлын урсгалуудтай нэгтгэгдэн, хөгжүүлэлтийг удаашруулахгүйгээр тодорхой, хэрэгжүүлэхүйц мэдээлэл өгдөг. Aardvark нь аюулгүй байдалд зориулагдсан ч бидний туршилтаар логикийн алдаа, дутуу засвар, нууцлалын асуудал зэрэг алдааг мөн илрүүлж чаддаг нь харагдсан.

Aardvark хэдэн сарын турш ажиллаж, OpenAI-ийн дотоод кодын сан болон гаднын alpha түншүүдийн кодын сангууд дээр тасралтгүй ажилласан. OpenAI дотор энэ нь ач холбогдолтой эмзэг байдлуудыг илрүүлж, OpenAI-ийн хамгаалалтын байр сууринд хувь нэмэр оруулсан. Түншүүд түүний шинжилгээний гүнзгийрлийг онцолсон бөгөөд Aardvark зөвхөн төвөгтэй нөхцөлд гардаг асуудлуудыг ч олсон.

“Golden” репозитор дээр хийсэн benchmark туршилтаар Aardvark мэдэгдэж буй болон синтетикаар оруулсан эмзэг байдлын 92%-ийг илрүүлж, өндөр recall болон бодит орчны үр нөлөөг харуулсан.

Aardvark-ийг нээлттэй эхийн төслүүдэд мөн ашигласан бөгөөд олон тооны эмзэг байдлыг илрүүлж, бид тэдгээрийг хариуцлагатайгаар мэдээлсэн—үүний арав нь Common Vulnerabilities and Exposures (CVE) танигч авсан.

Олон арван жилийн нээлттэй судалгаа болон хариуцлагатай мэдээллийн үр шимийг хүртэгчийн хувьд бид буцаан хувь нэмэр оруулах үүрэг хүлээдэг—хүн бүрт дижитал экосистемийг илүү аюулгүй болгох хэрэгсэл, олдворуудыг нийлүүлэхээр. Бид нээлттэй эхийн програм хангамжийн экосистем болон нийлүүлэлтийн сүлжээний аюулгүй байдалд хувь нэмэр оруулахын тулд тодорхой ашгийн бус нээлттэй эхийн репозиторуудад pro-bono скан санал болгохоор төлөвлөж байна.

Бид саяхан шинэчилсэн⁠ манай гадаад зохицуулалттай мэдээлэх бодлого⁠-оо танилцуулсан бөгөөд энэ нь хөгжүүлэгчдэд дарамт учруулж болох хатуу мэдээлэх хугацаанаас илүүтэй хамтын ажиллагаа, өргөтгөх боломжтой үр нөлөөнд төвлөрсөн, хөгжүүлэгчдэд ээлтэй байр суурь баримталдаг. Aardvark шиг хэрэгслүүд улам олон алдаа илрүүлэхэд хүргэнэ гэж бид үзэж байгаа бөгөөд урт хугацааны тэсвэртэй байдлыг бий болгохын тулд тогтвортой хамтран ажиллахыг хүсэж байна.

Програм хангамж одоо бүх салбарын тулгуур болсон—өөрөөр хэлбэл програм хангамжийн эмзэг байдал нь бизнес, дэд бүтэц, нийгэмд системийн эрсдэл болж байна. Зөвхөн 2024 онд 40,000 гаруй CVE мэдээлэгдсэн. Бидний туршилт commit-уудын ойролцоогоор 1.2% нь алдаа оруулдгийг харуулж байна—жижиг өөрчлөлтүүд ч асар их үр дагавартай байж болно.

Aardvark нь хамгаалагчийг нэгдүгээрт тавьсан шинэ загварыг төлөөлж байна: код өөрчлөгдөхийн хэрээр тасралтгүй хамгаалалт үзүүлэн багуудтай хамтран ажилладаг агент хэлбэрийн аюулгүй байдлын судлаач. Эмзэг байдлыг эрт илрүүлэх, бодит орчинд ашиглагдах боломжийг баталгаажуулах, ойлгомжтой засвар санал болгох замаар Aardvark инновацыг удаашруулахгүйгээр аюулгүй байдлыг бэхжүүлж чадна. Бид аюулгүй байдлын экспертизийн хүртээмжийг тэлэхэд итгэдэг. Бид хувийн бетагаас эхэлж байгаа бөгөөд суралцахын хэрээр хүртээмжийг өргөжүүлнэ.

Бид сонгогдсон түншүүдийг Aardvark-ийн хувийн бетад нэгдэхийг урьж байна. Оролцогчид эрт хандалт авч, илрүүлэлтийн нарийвчлал, баталгаажуулалтын ажлын урсгал, тайлагналын туршлагыг сайжруулахын тулд манай багтай шууд хамтран ажиллана.

Бид олон төрлийн орчинд гүйцэтгэлийг баталгаажуулахыг зорьж байна. Хэрэв танай байгууллага эсвэл нээлттэй эхийн төсөл нэгдэхийг хүсэж байвал эндээс хүсэлт гаргана уу⁠.