Sari la conținutul principal
OpenAI

30 octombrie 2025

SecuritateProdusCercetareLansare

Îți prezentăm Aardvark: cercetătorul de securitate agentiv al OpenAI

Acum în versiune Beta privată: un agent AI care gândește-te ca un cercetător în securitate și se extinde pentru a satisface cerințele software-ului modern.

Se încarcă…

Astăzi, anunțăm Aardvark, un cercetător de securitate agentiv susținut de GPT‑5.

Securitatea software este una dintre cele mai critice — și provocatoare — frontiere ale tehnologiei. În fiecare an, zeci de mii de noi vulnerabilități sunt descoperite în codurile sursă ale companiilor și ale proiectelor open-source. Apărătorii se confruntă cu sarcini descurajante de a identifica și remedia vulnerabilitățile înainte ca adversarii lor să o facă. La OpenAI, lucrăm să înclinăm balanța în favoarea apărătorilor.

Aardvark reprezintă o descoperire inovatoare în cercetarea în domeniul AI și al securității: un agent autonom care poate ajuta dezvoltatorii și echipele de securitate să descopere și să remedieze vulnerabilitățile de securitate la scară largă. Aardvark este acum disponibil în versiune beta privată pentru a valida și rafina capacitățile sale în domeniu.

Cum funcționează Aardvark

Aardvark analizează continuu depozitele de cod sursă pentru a identifica vulnerabilități, a evalua exploatabilitatea, a prioritiza gravitatea și a propune patch-uri specifice.

Aardvark funcționează prin monitorizarea commit-urilor și a modificărilor aduse bazelor de cod, identificarea vulnerabilităților, a modului în care acestea ar putea fi exploatate și propunerea de remedieri. Aardvark nu se bazează pe tehnici tradiționale de analiză a programelor, cum ar fi fuzzing sau analiza compoziției software. În schimb, folosește raționamentul bazat pe LLM și utilizarea instrumentelor pentru a înțelege comportamentul codului și a identifica vulnerabilitățile. Aardvark caută erori așa cum ar face un cercetător de securitate uman: citind codul, analizându-l, scriind și rulând teste, folosind unelte și altele.

Diagramă intitulată „AARDVARK — Flux de lucru al agentului de descoperire a vulnerabilităților” care prezintă un flux de proces de la depozitul Git la modelarea amenințărilor, descoperirea vulnerabilităților, validarea în sandbox, aplicarea de patch-uri cu Codex și revizuirea umană, care duce la o cerere de extragere.

Aardvark se bazează pe un proces în mai multe etape pentru a identifica, explica și remedia vulnerabilitățile:

  • Analiză: Începe prin analizarea întregului depozit pentru a produce un model de amenințări care să reflecte înțelegerea obiectivelor de securitate și a designului proiectului.
  • Scanare a commit-urilor: Scanează vulnerabilitățile prin inspectarea modificărilor la nivel de commit în raport cu întregul depozit și modelul de amenințări pe măsură ce este ]nregistrat noul cod. Când un depozit este conectat pentru prima dată, Aardvark va scana istoricul său pentru a identifica problemele existente. Aardvark explică vulnerabilitățile pe care le găsește pas cu pas, adnotând codul pentru revizuirea umană.
  • Validare: Odată ce Aardvark a identificat o potențială vulnerabilitate, va încerca să o declanșeze într-un mediu izolat, de tip sandbox, pentru a confirma exploatabilitatea acesteia. Aardvark descrie pașii întreprinși pentru a se asigura că utilizatorii primesc informații precise, de înaltă calitate și cu un număr redus de rezultate fals pozitive.
  • Remediere: Aardvark se integrează cu OpenAI Codex pentru a ajuta la remedierea vulnerabilităților pe care le găsește. Atașează un patch generat de Codex și scanat de Aardvark la fiecare constatare pentru revizuire umană și corectare eficientă cu un singur clic.

Aardvark colaborează cu inginerii, integrându-se cu GitHub, Codex și fluxurile de lucru existente pentru a oferi informații clare și utile, fără a încetini dezvoltarea. Deși Aardvark este conceput pentru securitate, în cadrul testelor am descoperit că poate identifica și buguri, cum ar fi deficiențe de logică, remedieri incomplete și probleme de confidențialitate.

Impact real, astăzi

Aardvark este în funcțiune de câteva luni, rulând continuu pe bazele de cod interne ale OpenAI și pe cele ale partenerilor alfa externi. În cadrul OpenAI, au fost descoperite vulnerabilități semnificative, ceea ce a contribuit la adoptarea unei atitudini defensive de către OpenAI. Partenerii au apreciat profunzimea analizei sale, deoarece Aardvark a identificat probleme care apar numai în condiții complexe.

În cadrul testelor de performanță efectuate asupra depozitelor „golden”, Aardvark a identificat 92% dintre vulnerabilitățile cunoscute și introduse sintetic, demonstrând un nivel ridicat de reamintire și eficacitate în condiții reale.

Aardvark pentru Open Source

Aardvark a fost folosit și în proiecte open-source, descoperind și dezvăluind în mod responsabil numeroase vulnerabilități — dintre care zece au primit identificatori Common Vulnerabilities and Exposures (CVE — Vulnerabilități și expuneri comune).

În calitate de beneficiari ai deceniilor de cercetare deschisă și divulgare responsabilă, ne angajăm să contribuim - contribuind cu instrumente și descoperiri care fac ecosistemul digital mai sigur pentru toată lumea. Plănuim să oferim scanări pro-bono pentru anumite depozite open source non-comerciale, pentru a contribui la securitatea ecosistemului software open source și a lanțului de aprovizionare.

Am actualizat recent politica noastră de dezvăluire coordonată a informațiilor către dezvoltatori, care adoptă o poziție favorabilă dezvoltării, axată pe colaborare și impact scalabil, mai degrabă decât pe termene rigide de dezvăluire care pot pune presiune pe dezvoltatori. Anticipăm că instrumente precum Aardvark vor duce la descoperirea unui număr tot mai mare de erori și vrem să colaborăm sustenabil pentru a obține o reziliență pe termen lung.

De ce contează

Software-ul a devenit esența tuturor sectoarelor, ceea ce înseamnă că vulnerabilitățile software-ului reprezintă un risc sistemic pentru companii, infrastructură și societate. Peste 40.000 de CVE-uri au fost raportate numai în 2024. Testele noastre arată că aproximativ 1,2% dintre commituri introduc buguri — mici modificări care pot avea consecințe disproporționate.

Aardvark reprezintă un nou model axat pe apărător pe primul loc: un cercetător de securitate agentiv care colaborează cu echipele oferind protecție continuă pe măsură ce codul evoluează. Prin identificarea timpurie a vulnerabilităților, validarea exploatabilității în situații reale și oferirea de soluții clare, Aardvark poate întări securitatea fără a încetini inovația. Noi credem în extinderea accesului la expertiza în securitate. Începem cu o versiune beta privată și vom extinde disponibilitatea pe măsură ce învățăm.

Versiunea beta privată este acum disponibilă

Invităm o serie de parteneri selectați să se alăture versiunii beta private Aardvark. Participanții vor beneficia de acces anticipat și vor colabora direct cu echipa noastră pentru a îmbunătăți precizia detectării, fluxurile de lucru de validare și experiența de raportare.

Dorim să validăm performanța într-o varietate de medii. Dacă organizația sau proiectul tău open source dorește să se alăture, îți poți depune candidatura aici.

Autor

OpenAI

Contribuitori

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight

Continuă să citești

Vezi toate
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
O bază mai solidă pentru memoria ChatGPT

Cercetare

Rosalind5.5 ArtCard
Prezentăm noi capabilități pentru GPT-Rosalind

Produs

1 1 Art Card
Codex pentru fiecare rol, instrument și flux de lucru

Produs