Pular para o conteúdo principal
OpenAI

30 de outubro de 2025

SegurançaProdutoPesquisaLançamento

Apresentamos o Aardvark: pesquisador de segurança agêntico da OpenAI

Já disponível em versão beta privada, o Aardvark é um agente de IA que pensa como um pesquisador de segurança e se adapta para atender às exigências dos softwares modernos.

Carregando…

Estamos anunciando hoje o Aardvark, pesquisador de segurança agêntico desenvolvido com a tecnologia do GPT‑5.

A segurança dos softwares é uma das questões mais críticas e desafiadoras da tecnologia. Milhares de novas vulnerabilidades são descobertas todos os anos em bases de código corporativas e de código aberto. Profissionais de segurança enfrentam a difícil tarefa de encontrar e corrigir vulnerabilidades antes que os criminosos as descubram. Na OpenAI, trabalhamos para que esse cenário favoreça os profissionais de segurança.

O Aardvark é um avanço na pesquisa em IA e segurança: um agente autônomo que ajuda desenvolvedores e equipes de segurança a descobrir e corrigir vulnerabilidades em grande escala. Ele já está disponível na versão beta privada com o objetivo de validar e refinar as próprias capacidades na prática.

Como funciona o Aardvark

O Aardvark analisa continuamente repositórios de código-fonte para identificar vulnerabilidades, avaliar a explorabilidade, priorizar a gravidade e recomendar patches específicos.

Ele monitora commits e alterações nas bases de código, detectando vulnerabilidades, a maneira como elas podem ser exploradas, e propondo correções. O Aardvark não utiliza técnicas convencionais de análise de programas, como “fuzzing” ou análise de composição de software, e sim raciocínio e ferramentas com tecnologia de LLM para compreender o comportamento do código e reconhecer vulnerabilidades. Ele procura bugs de forma semelhante a um pesquisador de segurança humano: lendo e analisando código, escrevendo e executando testes, usando ferramentas, entre outras ações.

Diagrama “AARDVARK — Fluxo de trabalho do agente de descoberta de vulnerabilidades” mostra um fluxo de processo desde o repositório Git até a modelagem de ameaças, descoberta de vulnerabilidades, área restrita de validação, patching com Codex e revisão humana que conduz a uma pull request.

O Aardvark se baseia em um pipeline de várias etapas para detectar, explicar e corrigir vulnerabilidades:

  • Análise: a primeira etapa é analisar todo o repositório para gerar um modelo de ameaças que reflita o entendimento dos objetivos e projeto de segurança do projeto.
  • Verificação de commit: o Aardvark procura vulnerabilidades inspecionando as alterações em nível de commit em todo o repositório e o modelo de ameaça conforme novos códigos são enviados. Quando um repositório é conectado pela primeira vez, o Aardvark verifica seu histórico para identificar problemas existentes. Ele explica detalhadamente as vulnerabilidades encontradas e anota o código para análise humana.
  • Validação: caso o Aardvark identifique uma possível vulnerabilidade, ele tenta executá-la em um ambiente isolado e protegido para confirmar sua explorabilidade. O Aardvark descreve as ações realizadas para garantir que os usuários recebam insights precisos e com baixo índice de falsos positivos.
  • Patching: o Aardvark integra-se ao OpenAI Codex para corrigir as vulnerabilidades detectadas. A cada vulnerabilidade detectada, ele anexa um patch gerado pelo Codex e verificado pelo Aardvark para análise humana e aplicação de patches com um clique.

O Aardvark atua em conjunto com engenheiros e integra-se ao GitHub, Codex e a fluxos de trabalho existentes para gerar informações claras e acionáveis sem atrasar o trabalho de desenvolvimento. Ainda que o Aardvark tenha sido criado para garantir a segurança, nossos testes revelaram que ele também pode detectar bugs como falhas de lógica, correções incompletas e problemas de privacidade.

Impacto real e imediato

O Aardvark está em operação há vários meses e vem sendo executado de forma contínua nas bases de código internas da OpenAI e de parceiros alfa externos. Ele descobriu vulnerabilidades significativas dentro da OpenAI e contribuiu para a adoção de uma postura defensiva por parte da empresa. Parceiros destacaram a complexidade das análises do Aardvark, que identificou problemas que ocorrem somente em condições específicas.

Testes de referência em repositórios padrão mostraram que o Aardvark identifica 92% das vulnerabilidades conhecidas e criadas sinteticamente, demonstrando alta precisão e eficácia em situações reais.

Aardvark e código aberto

O Aardvark também foi testado em projetos de código aberto, quando descobrimos e divulgamos de maneira responsável diversas vulnerabilidades, entre as quais dez receberam identificadores de Vulnerabilidades e Exposições Comuns (CVE).

Como beneficiários de décadas de pesquisa aberta e divulgação responsável, temos o compromisso de retribuir com ferramentas e descobertas para tornar o ecossistema digital mais seguro para todos. Queremos oferecer verificações gratuitas a alguns repositórios de código aberto sem fins comerciais, contribuindo com a segurança do ecossistema e da cadeia de suprimentos dos softwares de código aberto.

Atualizamos recentemente nossa política de divulgação coordenada externa, que assume uma abordagem favorável a desenvolvedores, com foco na colaboração e no impacto escalável, sem cronogramas rígidos de divulgação que podem pressionar esses profissionais. Acreditamos que ferramentas como o Aardvark permitirão a descoberta de um número ainda maior de bugs e queremos colaborar de forma sustentável para alcançar uma resiliência duradoura.

Por que ele é importante

Os softwares são hoje a base de todos os setores da economia. Isso significa que vulnerabilidades de software representam um risco sistêmico para empresas, infraestrutura e sociedade. Apenas em 2024, foram registrados mais de 40 mil CVEs. Nossos testes indicam que 1,2% dos commits introduzem bugs, isto é, pequenas alterações que podem ter consequências desproporcionais.

O Aardvark representa um novo modelo que prioriza a defesa: um pesquisador de segurança agêntico que trabalha junto com equipes, oferecendo proteção contínua enquanto o código evolui. Com detecção precoce de vulnerabilidades, validação da explorabilidade no mundo real e oferta de correções específicas, o Aardvark fortalece a segurança sem restringir a inovação. Acreditamos na ampliação do acesso ao conhecimento especializado em segurança. Estamos começando com uma versão beta privada e ampliaremos o acesso à medida que aprendermos mais.

Versão beta privada disponível

Estamos convidando alguns parceiros para experimentar a versão beta privada do Aardvark. Eles terão acesso antecipado e trabalharão diretamente com nossa equipe para refinar a precisão de detecção, os fluxos de trabalho de validação e a experiência de geração de relatórios.

Nosso objetivo é validar o desempenho em diversos ambientes. Se a sua organização ou projeto de código aberto tiver interesse em participar, cadastre-se aqui.

Autoria

OpenAI

Colaboradores

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight

Continuar lendo

Ver tudo
Expanding Daybreak Art Card
Daybreak: Tools for securing every organization in the world

Segurança

Patch the Planet Art Card 1x1
Patch the Planet: a Daybreak initiative to support open source maintainers

Segurança

Spend Controls_Artcard.png
Novas análises de uso e controles de gastos para empresas

Produto