Predstavljamo Aardvark: OpenAI agent za bezbednosna istraživanja

Ažuriranje od 6. marta 2026: Aardvark je sada Codex Security i dostupan je kao istraživački pregled.

Aardvark je sada ugrađen direktno u Codex kao Codex Security i uvodi se za korisnike ChatGPT Enterprise, Business i Edu preko veba za Codex, uz besplatno korišćenje tokom narednog meseca. Pogledajte naš blog ovde.⁠

Danas predstavljamo Aardvark, agentskog bezbednosnog istraživača kog pokreće GPT‑5.

Bezbednost softvera je jedna od najkritičnijih — i najizazovnijih — granica u tehnologiji. Svake godine se otkriju desetine hiljada novih ranjivosti u poslovnim i open-source bazama koda. Branioci su suočeni sa zahtevnim zadatkom da pronađu i zakrpe ranjivosti pre nego što to učine njihovi protivnici. U OpenAI radimo na tome da tu ravnotežu pomerimo u korist branilaca.

Aardvark predstavlja iskorak u AI i bezbednosnim istraživanjima: autonomni agent koji može da pomogne programerima i bezbednosnim timovima da otkrivaju i otklanjaju bezbednosne ranjivosti u velikom obimu. Aardvark je sada dostupan u privatnoj beta verziji kako bi se njegove mogućnosti proverile i unapredile u praksi.

Aardvark kontinuirano analizira depoe izvornog koda kako bi identifikovao ranjivosti, procenio mogućnost eksploatacije, odredio prioritete po ozbiljnosti i predložio ciljane zakrpe.

Aardvark radi tako što prati commit-e i izmene u bazama koda, identifikuje ranjivosti, načine na koje bi mogle biti iskorišćene i predlaže ispravke. Aardvark se ne oslanja na tradicionalne tehnike analize programa kao što su fuzzing ili analiza sastava softvera. Umesto toga, koristi rezonovanje velikih jezičkih modela (LLM) i upotrebu alata da bi razumeo ponašanje koda i identifikovao ranjivosti. Aardvark traži greške kao što bi to radio ljudski bezbednosni istraživač: čitanjem koda, njegovom analizom, pisanjem i pokretanjem testova, korišćenjem alata i drugim postupcima.

Aardvark se oslanja na višefazni tok rada za identifikovanje, objašnjavanje i otklanjanje ranjivosti:

• Analiza: Počinje analizom celog depоa kako bi napravio model pretnji koji odražava njegovo razumevanje bezbednosnih ciljeva i dizajna projekta.
• Skeniranje commit-ova: Traži ranjivosti pregledom izmena na nivou commit-a u odnosu na ceo depo i model pretnji dok se novi kod unosi. Kada se depo prvi put poveže, Aardvark će skenirati njegovu istoriju kako bi identifikovao postojeće probleme. Aardvark objašnjava ranjivosti koje pronađe korak po korak, uz anotacije koda za ljudsku proveru.
• Validacija: Kada Aardvark identifikuje potencijalnu ranjivost, pokušaće da je aktivira u izolovanom sandbox okruženju kako bi potvrdio mogućnost eksploatacije. Aardvark opisuje preduzete korake kako bi pomogao da se korisnicima vrate tačni, kvalitetni uvidi sa malim brojem lažno pozitivnih rezultata.
• Zakrpljivanje: Aardvark se integriše sa OpenAI Codex da pomogne u otklanjanju ranjivosti koje pronađe. Uz svaki nalaz prilaže zakrpu koju je generisao Codex i skenirao Aardvark radi ljudske provere i efikasnog zakrpljivanja jednim klikom.

Aardvark radi uz inženjere, integrišući se sa GitHub-om, Codex-om i postojećim tokovima rada kako bi pružio jasne, primenljive uvide bez usporavanja razvoja. Iako je Aardvark napravljen za bezbednost, u našem testiranju smo utvrdili da može da otkrije i greške kao što su logički propusti, nepotpune ispravke i problemi privatnosti.

Aardvark je u upotrebi već nekoliko meseci i neprekidno radi na internim bazama koda OpenAI i bazama eksternih alfa partnera. Unutar OpenAI otkrio je značajne ranjivosti i doprineo odbrambenom položaju OpenAI. Partneri su istakli dubinu njegove analize, pri čemu je Aardvark pronalazio probleme koji se javljaju samo u složenim uslovima.

U testiranju na referentnim „golden” depoima, Aardvark je identifikovao 92% poznatih i sintetički uvedenih ranjivosti, pokazujući visok obuhvat i efikasnost u stvarnim uslovima.

Aardvark je primenjen i na open-source projekte, gde je otkrio, a mi odgovorno prijavili, brojne ranjivosti — od kojih je deset dobilo identifikatore Common Vulnerabilities and Exposures (CVE).

Kao korisnici decenija otvorenih istraživanja i odgovornog prijavljivanja, posvećeni smo tome da uzvratimo — doprinoseći alatima i nalazima koji digitalni ekosistem čine bezbednijim za sve. Planiramo da ponudimo besplatno skeniranje odabranim nekomercijalnim open-source depоima kako bismo doprineli bezbednosti open-source softverskog ekosistema i lanca snabdevanja.

Nedavno smo ažurirali⁠ našu politiku eksterne koordinisane objave⁠, koja zauzima stav naklonjen programerima, usmeren na saradnju i skalabilan uticaj, umesto na rigidne rokove objave koji mogu da vrše pritisak na programere. Očekujemo da će alati poput Aardvark-a dovesti do otkrivanja sve većeg broja grešaka i želimo da održivo sarađujemo kako bismo postigli dugoročnu otpornost.

Softver je sada okosnica svake industrije — što znači da su softverske ranjivosti sistemski rizik za preduzeća, infrastrukturu i društvo. Samo u 2024. prijavljeno je više od 40.000 CVE-jeva. Naša testiranja pokazuju da oko 1,2% commit-ova uvodi greške — male promene koje mogu imati nesrazmerno velike posledice.

Aardvark predstavlja novi model sa braniocima na prvom mestu: agentskog bezbednosnog istraživača koji sarađuje sa timovima tako što isporučuje kontinuiranu zaštitu kako se kod razvija. Ranim otkrivanjem ranjivosti, potvrđivanjem mogućnosti eksploatacije u stvarnim uslovima i nuđenjem jasnih ispravki, Aardvark može da ojača bezbednost bez usporavanja inovacija. Verujemo u širenje pristupa bezbednosnoj stručnosti. Počinjemo sa privatnom beta verzijom i proširivaćemo dostupnost kako budemo učili.

Pozivamo odabrane partnere da se pridruže privatnoj beta verziji Aardvark-a. Učesnici će dobiti rani pristup i direktno sarađivati sa našim timom na unapređenju tačnosti detekcije, tokova rada validacije i iskustva izveštavanja.

Želimo da proverimo performanse u različitim okruženjima. Ako je vaša organizacija ili open-source projekat zainteresovan za pridruživanje, možete prijaviti se ovde⁠.