Kalo te përmbajtja kryesore
OpenAI

30 tetor 2025

Siguria kibernetikeProduktiKërkimePublikimi

Prezantimi i Aardvark: kërkues sigurie agjentik i OpenAI

Tani në versionin beta privat: një agjent i IA që mendon si një kërkues sigurie dhe zgjerohet për të përmbushur kërkesat e softuerëve modernë.

Duke ngarkuar…

Sot, po prezantojmë Aardvark, një kërkues sigurie agjentik i mundësuar nga GPT‑5.

Siguria e softuerëve është një nga fushat më kritike—dhe sfiduese—në teknologji. Çdo vit, dhjetëra mijëra cenueshmëri të reja zbulohen në bazat e kodeve të ndërmarrjeve dhe atyre me burim të hapur. Mbrojtësit përballen me detyra sfiduese të gjetjes dhe korrigjimit të cenueshmërive përpara se kundërshtarët e tyre t'i zbulojnë ato. Në OpenAI, po punojmë për të kthyer ekuilibrin në favor të mbrojtësve.

Aardvark përfaqëson një përparim në kërkimin e IA dhe të sigurisë: një agjent autonom që mund t'i ndihmojë zhvilluesit dhe ekipet e sigurisë të zbulojnë dhe rregullojnë cenueshmëritë e sigurisë në shkallë të gjerë. Aardvark tani është i disponueshëm në versionin beta privat për të verifikuar dhe përmirësuar aftësitë e tij në terren.

Si funksionon Aardvark

Aardvark analizon vazhdimisht depot e kodeve burimore për të identifikuar cenueshmëritë, vlerësuar shfrytëzueshmërinë, përcaktuar përparësinë sipas shkallës së rrezikut dhe propozuar korrigjimet e synuara.

Aardvark funksionon duke monitoruar angazhimet dhe ndryshimet në bazat e kodeve, duke identifikuar dobësitë, mënyrën se si ato mund të shfrytëzohen dhe duke propozuar zgjidhje. Aardvark nuk mbështetet në teknikat tradicionale të analizës së programeve si fuzzing ose analiza e përbërjes së softuerit. Në vend të kësaj, ai përdor arsyetimin e mundësuar nga LLM dhe përdorimin e mjeteve për të kuptuar sjelljen e kodeve dhe për të identifikuar dobësitë. Aardvark kërkon për gabime ashtu si një kërkues sigurie njerëzor: duke lexuar kodin, duke e analizuar atë, duke shkruar dhe ekzekutuar teste, duke përdorur mjete, e të tjera.

Diagram i titulluar "AARDVARK — Procesi i Punës së Agjentit të Zbulimit të Cenueshmërisë" që tregon një rrjedhë procesi nga depozitari Git te modelimi i kërcënimeve, zbulimi i cenueshmërive, sandbox-i për konfirmim, korrigjimi me Codex dhe rishikimi njerëzor që çon në një kërkesë për tërheqje.

Aardvark mbështetet në një proces me shumë faza për të identifikuar, shpjeguar dhe rregulluar cenueshmëritë:

  • Analiza: Fillon duke analizuar të gjithë depozitarin për të prodhuar një model kërcënimi që pasqyron kuptimin e saj për objektivat e sigurisë dhe dizajnin e projektit.
  • Skanimi i commit-eve: Ai skanon për cenueshmëri duke inspektuar ndryshimet në nivel commit-i kundrejt të gjithë depozitarit dhe modelit të kërcënimeve ndërsa shtohet kodi i ri. Kur një depozitar lidhet për herë të parë, Aardvark do të skanojë historikun e saj për të identifikuar problemet ekzistuese. Aardvark shpjegon dobësitë që zbulon hap pas hapi, duke shënuar kodin për rishikim nga njerëzit.
  • Konfirmimi: Pasi Aardvark ka identifikuar një cenueshmëri të mundshme, do të përpiqet ta aktivizojë atë në një mjedis të izoluar dhe të kufizuar për të konfirmuar shfrytëzueshmërinë e saj. Aardvark përshkruan hapat e ndërmarra për të siguruar që përdoruesve t'u kthehen njohuri të sakta, me cilësi të lartë dhe me pak rezultate të rreme pozitive.
  • Korrigjimi: Aardvark integrohet me OpenAI Codex për të ndihmuar në rregullimin e cenueshmërive që zbulon. Ai bashkëngjit një korrigjim të gjeneruar nga Codex dhe të skanuar nga Aardvark në çdo gjetje për shqyrtim njerëzor dhe korrigjim efikas me një klikim.

Aardvark punon së bashku me inxhinierët, duke u integruar me GitHub, Codex dhe proceset ekzistuese të punës për të ofruar njohuri të qarta dhe të zbatueshme pa ngadalësuar zhvillimin. Ndërsa Aardvark është ndërtuar për siguri, në testimet tona kemi zbuluar se ai mund të zbulojë gjithashtu gabime si defekte logjike, rregullime të paplota dhe probleme privatësie.

Ndikim i vërtetë, sot

Aardvark ka qenë në përdorim prej disa muajsh, duke funksionuar vazhdimisht në bazat e brendshme të kodeve të OpenAI dhe ato të partnerëve të jashtëm alfa. Brenda OpenAI, ai ka zbuluar cenueshmëri të rëndësishme dhe ka kontribuar në qëndrimin mbrojtës të OpenAI. Partnerët kanë theksuar thellësinë e analizës së tij, me Aardvark që zbulon probleme që shfaqen vetëm nën kushte komplekse.

Në testimin e standardeve mbi depozitarët “e artë”, Aardvark identifikoi 92% të dobësive të njohura dhe të futura sintetikisht, duke demonstruar një rikuperim të lartë dhe efektivitet në botën reale.

Aardvark për Open Source

Aardvark është përdorur gjithashtu në projekte me burim të hapur, ku ka bërë zbulime dhe ne kemi raportuar në mënyrë të përgjegjshme shumë cenueshmëri—dhjetë prej të cilave kanë marrë identifikues të Cenueshmërive dhe Ekspozimeve të Përbashkëta (CVE).

Si përfitues të dekadave të kërkimit të hapur dhe zbulimit të përgjegjshëm, ne jemi të përkushtuar të kontribuojmë—me mjete dhe gjetje që e bëjnë ekosistemin dixhital më të sigurt për të gjithë. Ne kemi një plan për të ofruar skanim pro-bono për depozitarët e zgjedhur jo-komercialë me burim të hapur për të kontribuar në sigurinë e ekosistemit të softuerëve me burim të hapur dhe zinxhirit të furnizimit.

Kohët e fundit kemi përditësuar politikën tonë të zbulimit të koordinuar për jashtë, e cila merr një qëndrim miqësor ndaj zhvilluesve, e fokusuar në bashkëpunim dhe ndikim të zgjerueshëm, në vend të afateve të ngurta të zbulimit që mund të ushtrojnë presion mbi zhvilluesit. Ne presim që mjete si Aardvark të çojnë në zbulimin e një numri gjithnjë e më të madh të gabimeve dhe duam të bashkëpunojmë në mënyrë të qëndrueshme për të arritur qëndrueshmëri afatgjatë.

Pse është e rëndësishme

Softueri tani është baza e çdo industrie—që do të thotë se cenueshmëritë e softuerit përbëjnë një rrezik sistemik për bizneset, infrastrukturën dhe shoqërinë. Mbi 40,000 CVE u raportuan vetëm në vitin 2024. Testimet tona tregojnë se rreth 1.2% e commit-ëve sjellin gabime—ndryshime të vogla që mund të kenë pasoja të mëdha.

Aardvark përfaqëson një model të ri fokusuar te mbrojtësi: një kërkues sigurie agjentik që bashkëpunon me ekipet duke ofruar mbrojtje të vazhdueshme ndërsa kodi evoluon. Duke identifikuar herët dobësitë, duke verifikuar shfrytëzueshmërinë e tyre në botën reale dhe duke ofruar zgjidhje të qarta, Aardvark mund të forcojë sigurinë pa ngadalësuar inovacionin. Ne besojmë në zgjerimin e qasjes në ekspertizën e sigurisë. Po fillojmë me një version beta privat dhe do të zgjerojmë disponueshmërinë ndërsa mësojmë.

Versioni beta privat është i hapur tashmë

Ne po ftojmë partnerë të zgjedhur për t'u bashkuar me versionin beta privat të Aardvark. Pjesëmarrësit do të kenë akses të hershëm dhe do të punojnë drejtpërdrejt me ekipin tonë për të përmirësuar saktësinë e zbulimeve, proceset e punës së konfirmimit dhe përvojën e raportimit.

Ne po kërkojmë të vlerësojmë performancën në një sërë mjedisesh. Nëse organizata jote ose projekti yt me burim të hapur është i interesuar të bashkohet, mund të aplikosh këtu.

Autor

OpenAI

Kontribuesit

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu dhe Matt Knight

Vazhdo të lexosh

Shiko të gjitha
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Dreaming: Better memory for a more helpful ChatGPT

Kërkime

Rosalind5.5 ArtCard
Prezantimi i aftësive të reja në GPT-Rosalind

Produkti

1 1 Art Card
Codex për çdo rol, mjet dhe fluks pune

Produkti