วันนี้ เรากำลังประกาศเปิดตัว Aardvark ซึ่งเป็นเครื่องมือวิจัยด้านความปลอดภัยเชิงตัวแทนที่ขับเคลื่อนด้วย GPT‑5
ความปลอดภัยของซอฟต์แวร์เป็นหนึ่งในแนวหน้าที่สำคัญและท้าทายที่สุดในเทคโนโลยี ในแต่ละปี มีการค้นพบช่องโหว่ใหม่ๆ หลายหมื่นรายการในโค้ดเบสขององค์กรและโอเพ่นซอร์ส ผู้ป้องกันต้องเผชิญกับงานที่ท้าทายในการค้นหาและแก้ไขช่องโหว่ก่อนที่ฝ่ายตรงข้ามจะทำได้ ที่ OpenAI เรากำลังทำงานเพื่อปรับสมดุลให้เอื้อประโยชน์ต่อผู้ป้องกัน
Aardvark เป็นตัวแทนของความก้าวหน้าในการวิจัย AI และความปลอดภัย: เอเจนต์อัตโนมัติที่สามารถช่วยนักพัฒนาและทีมความปลอดภัยในการค้นหาและแก้ไขช่องโหว่ด้านความปลอดภัยในวงกว้าง Aardvark พร้อมใช้งานในรุ่นเบตาส่วนตัวเพื่อทดสอบและปรับปรุงความสามารถในสาขานี้
Aardvark วิเคราะห์ที่เก็บซอร์สโค้ดอย่างต่อเนื่องเพื่อระบุช่องโหว่ ประเมินความสามารถในการถูกโจมตี จัดลำดับความสำคัญของความรุนแรง และเสนอแพตช์ที่ตรงเป้าหมาย
Aardvark ทำงานโดยการตรวจสอบการคอมมิตและการเปลี่ยนแปลงในฐานโค้ด ระบุช่องโหว่ วิธีที่อาจถูกใช้ประโยชน์ และเสนอวิธีแก้ไข Aardvark ไม่ได้พึ่งพาเทคนิคการวิเคราะห์โปรแกรมแบบดั้งเดิม เช่น การฟัซซิ่งหรือการวิเคราะห์องค์ประกอบซอฟต์แวร์ แทนที่จะเป็นเช่นนั้น มันใช้การให้เหตุผลและการใช้เครื่องมือที่ขับเคลื่อนด้วย LLM เพื่อทำความเข้าใจพฤติกรรมของโค้ดและระบุช่องโหว่ Aardvark ค้นหาข้อบกพร่องเหมือนที่นักวิจัยด้านความปลอดภัยของมนุษย์ทำ: โดยการอ่านโค้ด วิเคราะห์โค้ด เขียนและรันการทดสอบ ใช้เครื่องมือ และอื่นๆ
Aardvark ใช้กระบวนการหลายขั้นตอนในการระบุ อธิบาย และแก้ไขช่องโหว่:
- การวิเคราะห์: เริ่มต้นด้วยการวิเคราะห์คลังข้อมูลทั้งหมดเพื่อสร้างโมเดลภัยคุกคามที่สะท้อนถึงความเข้าใจในวัตถุประสงค์ด้านความปลอดภัยและการออกแบบของโครงการ
- การสแกนคอมมิต: จะสแกนหาช่องโหว่โดยการตรวจสอบการเปลี่ยนแปลงในระดับคอมมิตกับที่เก็บทั้งหมดและโมเดลภัยคุกคามเมื่อมีการคอมมิตโค้ดใหม่ เมื่อที่เก็บโค้ดถูกเชื่อมต่อครั้งแรก Aardvark จะสแกนประวัติเพื่อระบุปัญหาที่มีอยู่ Aardvark อธิบายช่องโหว่ที่พบทีละขั้นตอน โดยใส่คำอธิบายประกอบในโค้ดเพื่อให้มนุษย์ตรวจสอบ
- การตรวจสอบ: เมื่อ Aardvark ระบุช่องโหว่ที่อาจเกิดขึ้นได้แล้ว จะพยายามกระตุ้นช่องโหว่นั้นในสภาพแวดล้อมแบบแซนด์บ็อกซ์ที่แยกออกมาเพื่อยืนยันความสามารถในการถูกโจมตีได้ Aardvark อธิบายขั้นตอนที่ดำเนินการเพื่อช่วยให้มั่นใจว่าผลลัพธ์ที่ได้มีความถูกต้อง มีคุณภาพสูง และมีการแจ้งเตือนที่ผิดพลาดต่ำกลับไปยังผู้ใช้
- การแพตช์: Aardvark ผสานรวมกับ OpenAI Codex เพื่อช่วยแก้ไขช่องโหว่ที่พบ มันแนบแพตช์ที่สร้างโดย Codex และสแกนโดย Aardvark ไปยังแต่ละการค้นพบเพื่อการตรวจสอบโดยมนุษย์และการแก้ไขที่มีประสิทธิภาพด้วยการคลิกเพียงครั้งเดียว
Aardvark ทำงานร่วมกับวิศวกร โดยผสานรวมกับ GitHub, Codex และเวิร์กโฟลว์ที่มีอยู่เพื่อให้ข้อมูลเชิงลึกที่ชัดเจนและนำไปปฏิบัติได้โดยไม่ทำให้การพัฒนาช้าลง แม้ว่า Aardvark จะถูกสร้างขึ้นเพื่อความปลอดภัย แต่ในการทดสอบของเรา เราพบว่ามันยังสามารถเปิดเผยข้อบกพร่องต่างๆ เช่น ข้อบกพร่องทางตรรกะ การแก้ไขที่ไม่สมบูรณ์ และปัญหาความเป็นส่วนตัวได้อีกด้วย
Aardvark ได้ให้บริการมาหลายเดือนแล้ว โดยทำงานอย่างต่อเนื่องในโค้ดเบสภายในของ OpenAI และโค้ดเบสของพันธมิตรอัลฟาภายนอก ภายใน OpenAI ได้มีการเปิดเผยช่องโหว่ที่สำคัญและมีส่วนช่วยเสริมสร้างการป้องกันของ OpenAI พันธมิตรได้เน้นย้ำถึงความลึกซึ้งของการวิเคราะห์ โดย Aardvark พบปัญหาที่เกิดขึ้นเฉพาะภายใต้เงื่อนไขที่ซับซ้อน
ในการทดสอบเกณฑ์มาตรฐานบนคลังข้อมูล "ทองคำ" Aardvark สามารถระบุช่องโหว่ที่รู้จักและที่สร้างขึ้นใหม่ได้ถึง 92% ซึ่งแสดงให้เห็นถึงการเรียกคืนที่สูงและประสิทธิภาพในโลกแห่งความเป็นจริง
Aardvark ยังถูกนำไปใช้กับโครงการโอเพนซอร์ส ซึ่งได้ค้นพบและเราได้เปิดเผยช่องโหว่จำนวนมากอย่างมีความรับผิดชอบ โดยสิบช่องโหว่เหล่านี้ได้รับการระบุด้วยรหัส Common Vulnerabilities and Exposures (CVE)
ในฐานะผู้ได้รับประโยชน์จากการวิจัยแบบเปิดและการเปิดเผยข้อมูลอย่างรับผิดชอบมาหลายทศวรรษ พวกเรามุ่งมั่นที่จะตอบแทนด้วยการมีส่วนร่วมในเครื่องมือและการค้นพบที่ทำให้ระบบดิจิทัลปลอดภัยยิ่งขึ้นสำหรับทุกคน เราวางแผนที่จะให้บริการสแกนฟรีแก่ที่เก็บโอเพนซอร์สที่ไม่ใช่เชิงพาณิชย์ที่เลือกไว้ เพื่อสนับสนุนความปลอดภัยของระบบนิเวศซอฟต์แวร์โอเพนซอร์สและห่วงโซ่อุปทาน
เมื่อเร็วๆ นี้ เราได้อัปเดตนโยบายการเปิดเผยข้อมูลที่ประสานงานภายนอกของเรา ซึ่งมีจุดยืนที่เป็นมิตรกับนักพัฒนา มุ่งเน้นที่ความร่วมมือและผลกระทบที่ขยายได้ แทนที่จะเป็นการกำหนดเวลาการเปิดเผยข้อมูลที่เข้มงวดซึ่งอาจกดดันนักพัฒนา เราคาดหวังว่าเครื่องมืออย่าง Aardvark จะนำไปสู่การค้นพบข้อบกพร่องที่เพิ่มขึ้น และต้องการร่วมมือกันอย่างยั่งยืนเพื่อให้บรรลุความยืดหยุ่นในระยะยาว
ซอฟต์แวร์ในปัจจุบันเป็นกระดูกสันหลังของทุกอุตสาหกรรม ซึ่งหมายความว่าช่องโหว่ของซอฟต์แวร์เป็นความเสี่ยงเชิงระบบต่อธุรกิจ โครงสร้างพื้นฐาน และสังคม มีการรายงาน CVE กว่า 40,000 รายการในปี 2024 เพียงปีเดียว การทดสอบของเราแสดงให้เห็นว่าประมาณ 1.2% ของการคอมมิตมีการแนะนำบั๊ก ซึ่งเป็นการเปลี่ยนแปลงเล็กน้อยที่อาจมีผลกระทบอย่างมาก
Aardvark นำเสนอโมเดลใหม่ที่เน้นการป้องกันเป็นหลัก: เครื่องมือวิจัยด้านความปลอดภัยเชิงปฏิบัติการที่ร่วมมือกับทีมโดยให้การป้องกันอย่างต่อเนื่องในขณะที่โค้ดพัฒนาไป โดยการตรวจจับช่องโหว่ตั้งแต่เนิ่นๆ ตรวจสอบความสามารถในการใช้ประโยชน์ในโลกแห่งความเป็นจริง และเสนอวิธีแก้ไขที่ชัดเจน Aardvark สามารถเสริมสร้างความปลอดภัยโดยไม่ชะลอการสร้างนวัตกรรม เราเชื่อในการขยายการเข้าถึงความเชี่ยวชาญด้านความปลอดภัย เรากำลังเริ่มต้นด้วยเวอร์ชันเบตาแบบส่วนตัวและจะขยายการใช้งานเมื่อเราเรียนรู้เพิ่มเติม
เราขอเชิญพันธมิตรที่ได้รับการคัดเลือกเข้าร่วมเบตาส่วนตัวของ Aardvark ผู้เข้าร่วมจะได้รับสิทธิ์เข้าถึงก่อนและทำงานโดยตรงกับ Team ของเราเพื่อปรับปรุงความแม่นยำในการตรวจจับ กระบวนการตรวจสอบ และประสบการณ์การรายงาน
เรากำลังมองหาวิธีการยืนยันประสิทธิภาพในหลากหลายสภาพแวดล้อม หากองค์กรหรือโครงการโอเพ่นซอร์สของคุณสนใจเข้าร่วม สามารถสมัครได้ที่นี่
ผู้เขียน
ผู้มีส่วนร่วม
Akshay Bhat Andy Nguyen Dave Aitel Harold Nguyen Ian Brelinsky Tiffany Citra Xin Hu และMatt Knight
อ่านต่อ
