Leo, tunatangaza Aardvark, mtafiti wa usalama mwenye uwezo unaoendeshwa na GPT‑5.
Usalama wa programu ni mojawapo ya maeneo muhimu zaidi—na yenye changamoto—katika teknolojia. Kila mwaka, makumi ya maelfu ya udhaifu mpya hugunduliwa katika misimbo ya biashara na chanzo huria. Watetezi wanakabiliwa na shughuli ngumu za kutafuta na kuziba udhaifu kabla ya wapinzani wao kufanya hivyo. Katika OpenAI, tunafanya kazi ili kugeuza mizani hiyo kwa manufaa ya watetezi.
Aardvark inawakilisha mafanikio katika utafiti wa AI na usalama: wakala wa kujitegemea ambaye anaweza kusaidia wasanidi programu na timu za usalama kugundua na kurekebisha udhaifu wa usalama kwa kiwango kikubwa. Aardvark sasa inapatikana katika toleo la beta ya kibinafsi ili kuthibitisha na kuboresha uwezo wake katika uwanja.
Aardvark huchambua kwa mfululizo hazina za msimbo wa chanzo ili kutambua udhaifu, kutathmini uwezekano wa kutumiwa vibaya, kuainisha ukali wa umuhimu na kupendekeza viraka vilivyolengwa.
Aardvark inafanya kazi kwa kufuatilia mabadiliko na marekebisho kwenye misimbo, kutambua udhaifu, jinsi unavyoweza kutumiwa na kupendekeza marekebisho. Aardvark haitumii mbinu za kawaida za uchanganuzi wa programu kama vile fuzzing au uchanganuzi wa muundo wa programu. Badala yake, inatumia uwazaji unaoendeshwa na LLM na matumizi ya zana kuelewa tabia ya msimbo na kutambua udhaifu. Aardvark inatafuta hitilafu kama mtafiti wa usalama wa kibinadamu: kwa kusoma msimbo, kuuchambua, kuandika na kuendesha majaribio, kutumia zana, na zaidi.
Aardvark inategemea mchakato wa hatua nyingi ili kutambua, kuelezea na kurekebisha udhaifu:
- Uchanganuzi: Inaanza kwa kuchanganua hazina nzima ili kutoa mfano wa tishio unaoonyesha uelewa wake wa malengo ya usalama na muundo wa mradi.
- Uchunguzi wa marekebisho: Inachunguza udhaifu kwa kukagua mabadiliko ya kiwango cha marekebisho dhidi ya hazina nzima na muundo wa tishio wakati msimbo mpya unapowekwa. Wakati hazina inapounganishwa kwa mara ya kwanza, Aardvark itachunguza historia yake ili kutambua masuala yaliyopo. Aardvark inaeleza udhaifu inaoupata hatua kwa hatua, ikitoa maelezo ya msimbo kwa ukaguzi wa kibinadamu.
- Uthibitishaji: Mara tu Aardvark inapobaini udhaifu unaoweza kutokea, itajaribu kuuchochea katika mazingira yaliyotengwa na yenye usalama wa sandbox ili kuthibitisha kama unaweza kutumika kushambulia. Aardvark inaelezea hatua zilizochukuliwa kusaidia kuhakikisha kwamba maarifa sahihi, ya ubora wa juu na yenye makosa machache ya chanya yanarudishwa kwa watumiaji.
- Kurekebisha: Aardvark inaunganisha na OpenAI Codex kusaidia kurekebisha udhaifu inaoupata. Inaambatisha kiraka kilichozalishwa na Codex na kuchanganuliwa na Aardvark kwa kila ugunduzi kwa ukaguzi wa kibinadamu na urekebishaji wa haraka kwa kubofya mara moja.
Aardvark inafanya kazi pamoja na wahandisi, ikijumuika na GitHub, Codex na mitiririko ya kazi iliyopo ili kutoa maarifa wazi na yanayoweza kutekelezeka bila kupunguza kasi ya maendeleo. Ingawa Aardvark imeundwa kwa usalama, katika majaribio yetu tumegundua kuwa inaweza pia kufichua hitilafu kama vile dosari za mantiki, marekebisho yasiyokamilika na masuala ya faragha.
Aardvark imekuwa ikitumika kwa miezi kadhaa, ikifanya kazi mfululizo katika misimbo ya ndani ya OpenAI na ya washirika wa nje wa alpha. Ndani ya OpenAI, imeibua udhaifu muhimu na kuchangia katika msimamo wa kujihami wa OpenAI. Washirika wameangazia kina cha uchanganuzi wake, ambapo Aardvark imebaini masuala yanayojitokeza tu chini ya hali changamano.
Katika majaribio ya alama kwenye hazina "za dhahabu", Aardvark ilitambua 92% ya udhaifu unaojulikana na ulioletwa kwa njia ya kimitambo, ikionyesha uwezo wa juu wa kukumbuka na ufanisi katika mazingira halisi.
Aardvark pia imetumika katika miradi ya chanzo huria, ambapo imegundua na tumefichua kwa uwajibikaji udhaifu mwingi—kumi kati ya hizo zimepokea vitambulisho vya Common Vulnerabilities and Exposures (CVE).
Kama wanufaika wa miongo kadhaa ya utafiti wazi na ufichuzi wa uwajibikaji, tumejitolea kurudisha nyuma—kuchangia zana na matokeo yanayofanya mfumo wa kidijitali kuwa salama kwa kila mtu. Tuna mpango wa kutoa huduma ya uchanganuzi bila malipo kwa hazina za chanzo huria zisizo za kibiashara zilizochaguliwa ili kuchangia katika usalama wa mfumo wa programu za chanzo huria na msururu wa ugavi.
Hivi karibuni tumesasisha sera yetu ya uratibu wa ufichuzi wa nje ambayo inachukua msimamo unaowapendelea wasanidi programu, ikilenga ushirikiano na athari inayoweza kupimika, badala ya ratiba ngumu za ufichuzi ambazo zinaweza kuwaweka wasanidi programu chini ya shinikizo. Tunatarajia kwamba zana kama Aardvark zitasababisha kugunduliwa kwa idadi inayoongezeka ya hitilafu na tungependa kushirikiana kwa njia endelevu ili kufikia ustahimilivu wa muda mrefu.
Programu sasa ni uti wa mgongo wa kila tasnia—hii inamaanisha kuwa udhaifu wa programu ni hatari ya kimfumo kwa biashara, miundombinu, na jamii. Zaidi ya CVE 40,000 ziliripotiwa katika mwaka wa 2024 pekee. Majaribio yetu yanaonyesha kuwa takriban 1.2% ya marekebisho huleta hitilafu—mabadiliko madogo ambayo yanaweza kuwa na athari kubwa.
Aardvark inawakilisha muundo mpya wa mtetezi wa kwanza: mtafiti wa usalama wa kiwakala ambaye anashirikiana na timu kwa kutoa ulinzi endelevu kadri msimbo unavyoendelea kubadilika. Kwa kugundua udhaifu mapema, kuthibitisha uwezekano wa matumizi katika hali halisi na kutoa suluhisho wazi, Aardvark inaweza kuimarisha usalama bila kupunguza uvumbuzi. Tunaamini katika kupanua upatikanaji wa utaalamu wa usalama. Tunaanza na beta ya kibinafsi na tutapanua upatikanaji tunavyojifunza zaidi.
Tunaalika washirika maalum kujiunga na beta ya kibinafsi ya Aardvark. Washiriki watapata ufikiaji wa mapema na kufanya kazi moja kwa moja na timu yetu ili kuboresha usahihi wa utambuzi, michakato ya uthibitishaji na uzoefu wa kuripoti.
Tunatafuta kuthibitisha utendaji katika mazingira mbalimbali. Ikiwa shirika lako au mradi wa chanzo huria unavutiwa kujiunga, mnaweza tuma ombi hapa.
Mwandishi
Wachangiaji
Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu na Matt Knight
Endelea kusoma
