Apresentamos o Aardvark: o investigador de segurança agêntico da OpenAI

Hoje, anunciamos o Aardvark, um investigador de segurança autónomo com tecnologia GPT‑5.

A segurança dos softwares é uma das questões mais críticas e desafiadoras da tecnologia. Todos os anos, são descobertas dezenas de milhares de novas vulnerabilidades em bases de código corporativas e de código aberto. As defesas enfrentam a difícil tarefa de encontrar e corrigir vulnerabilidades antes que os inimigos o façam. Na OpenAI, estamos a trabalhar para inclinar esta balança a favor da defesa.

O Aardvark representa um avanço na investigação em IA e segurança: um agente autónomo que pode ajudar os desenvolvedores e as equipas de segurança a descobrir e corrigir vulnerabilidades em grande escala. O Aardvark está agora disponível em versão beta privada para validar e refinar as suas capacidades na prática.

A Aardvark analisa continuamente repositórios de código-fonte para identificar vulnerabilidades, avaliar a possibilidade de exploração, priorizar a gravidade e propor patches específicos.

O Aardvark monitoriza commits e alterações em bases de código, identificando vulnerabilidades, a forma como estas podem ser exploradas e propondo correções. O Aardvark não utiliza técnicas convencionais de análise de programas, como “fuzzing” ou análise de composição de software. Em vez disso, utiliza reflexão e ferramentas com tecnologia de LLM para compreender o comportamento do código e reconhecer vulnerabilidades. Aardvark procura bugs da mesma forma que um investigador de segurança humano: a ler e analisar o código, escrever e executar testes, utilizar ferramentas e muito mais.

A Aardvark utiliza um pipeline de várias etapas para identificar, explicar e corrigir vulnerabilidades:

• Análise: começa por analisar o repositório completo para produzir um modelo de ameaças que reflete a compreensão dos objetivos e projeto de segurança do projeto.
• Verificação de commits: procura vulnerabilidades ao inspecionar alterações a nível de commit em relação a todo o repositório e ao modelo de ameaças à medida que são adicionados novos códigos. Quando um repositório é ligado pela primeira vez, o Aardvark vai analisar o histórico para identificar problemas existentes. O Aardvark explica as vulnerabilidades encontradas passo a passo e anota o código para revisão humana.
• Validação: assim que o Aardvark identificar uma potencial vulnerabilidade, tentará ativá-la num ambiente isolado e protegido para confirmar a explorabilidade. Aardvark descreve as medidas tomadas para garantir que os utilizadores recebem informações precisas, de alta qualidade e com uma baixa taxa de falsos positivos.
• Patching: o Aardvark integra-se com o OpenAI Codex para corrigir as vulnerabilidades encontradas. A cada descoberta, anexa um patch gerado pelo Codex e verificado pelo Aardvark para revisão humana e aplicação de patches com um clique.

O Aardvark trabalha em conjunto com os engenheiros e integra-se com o GitHub, Codex e fluxos de trabalho existentes para gerar insights claros e acionáveis sem prejudicar o trabalho em desenvolvimento. Embora o Aardvark tenha sido desenvolvido para segurança, os nossos testes revelaram que também pode identificar bugs, como falhas de lógica, correções incompletas e problemas de privacidade.

O Aardvark está em funcionamento há vários meses e a operar continuamente nas bases de código internas da OpenAI e de parceiros alfa externos. Dentro da OpenAI, revelou vulnerabilidades significativas que contribuiu para a postura defensiva da empresa. Os parceiros destacaram a profundidade da análise, com o Aardvark a identificar problemas que surgem apenas em condições complexas.

Nos testes de referência em repositórios “golden”, o Aardvark identificou 92% das vulnerabilidades conhecidas e introduzidas sinteticamente, demonstrando alta capacidade de recall e eficácia no mundo real.

O Aardvark foi também testado em projetos de código aberto, onde descobriu e divulgou de forma responsável várias vulnerabilidades — dez das quais receberam identificadores CVE (Common Vulnerabilities and Exposures).

Como beneficiários de décadas de pesquisa aberta e divulgação responsável, estamos empenhados em retribuir com ferramentas e descobertas que tornam o ecossistema digital mais seguro para todos. Planeamos oferecer verificações gratuitas a alguns repositórios de código aberto sem fins comerciais, para contribuir segurança do ecossistema e da cadeia de fornecimento dos softwares de código aberto.

Recentemente, atualizámos⁠ a nossa política coordenada de divulgação externa⁠, que adota uma postura favorável para os desenvolvedores, focada na colaboração e no impacto escalável, em vez de prazos rígidos de divulgação que podem pressionar estes profissionais. Prevemos que ferramentas como o Aardvark resultarão na descoberta de um número maior de bugs e queremos colaborar de forma sustentável para alcançar resiliência a longo prazo.

Os softwares são hoje a base de todos os setores da economia, o que significa que as vulnerabilidades de software são um risco sistémico para as empresas, infraestruturas e a sociedade. Mais de 40.000 CVEs foram reportados só em 2024. Os nossos testes mostram que cerca de 1,2% dos commits introduzem bugs — pequenas alterações que podem ter consequências desproporcionais.

O Aardvark representa um novo modelo que prioriza a defesa: um investigador de segurança agêntico que trabalha com as equipas, oferecendo proteção contínua à medida que o código evolui. Ao detetar vulnerabilidades precocemente, validar a possibilidade de exploração no mundo real e oferecer soluções claras, a Aardvark reforça a segurança sem comprometer a inovação. Acreditamos na expansão do acesso a especialistas em segurança. Estamos a começar com uma versão beta fechada e vamos alargar a disponibilidade à medida que formos aprendendo.

Estamos a convidar parceiros selecionados para experimentarem a versão beta privada do Aardvark. Os participantes terão acesso antecipado e trabalharão diretamente com a nossa equipa para melhorar a precisão da deteção, os fluxos de trabalho de validação e a experiência de geração de relatórios.

Queremos validar o desempenho em diversos ambientes. Se a tua organização ou projeto de código aberto tiver interesse em participar, podes candidatar-te aqui⁠.