Ana içeriğe atla
OpenAI

30 Ekim 2025

ÜrünAraştırmaSürüm

Aardvark ile tanışın: OpenAI’ın ajan tabanlı güvenlik araştırmacısı

Şu anda özel beta sürümünde: Bir güvenlik araştırmacısı gibi düşünen ve modern yazılımın ihtiyaçlarını karşılayabilecek şekilde ölçeklenebilen bir yapay zeka ajanı.

Yükleniyor...

Bugün, GPT‑5 ile desteklenen ajan tabanlı güvenlik araştırmacısı Aadvark'ı tanıtıyoruz.

Yazılım güvenliği, teknoloji dünyasının en kritik ve en zorlayıcı alanlarından biridir. Her yıl, kurumsal ve açık kaynaklı kod tabanlarında binlerce yeni güvenlik açığı keşfediliyor. Yazılım güvenliğinden sorumlu olan kişiler, güvenlik açıklarını saldırganlardan önce bulup gidermek gibi zorlu görevlerle karşı karşıya kalıyor. OpenAI olarak, bu durumu bu kişilerin lehine çevirmek için çalışıyoruz.

Aardvark, yapay zeka ve güvenlik araştırması alanında bir atılımı temsil ediyor: Geliştiricilere ve güvenlik ekiplerine farklı ölçeklerdeki güvenlik açıklarını bulma ve düzeltme konusunda yardımcı olabilecek otonom bir ajan. Aardvark, şu anda bu alandaki yeteneklerinin doğrulanacağı ve geliştirileceği özel beta aşamasında.

Aardvark nasıl çalışır?

Aardvark, kaynak kodu depolarını sürekli olarak analiz ederek güvenlik açıklarını tespit eder, kötüye kullanım olasılıklarını değerlendirir, önem sırasını belirler ve hedefe yönelik düzeltmeler önerir.

Aardvark, kod tabanlarında işlenen kodları ve yapılan değişiklikleri izleme, güvenlik açıklarını ve nasıl kötüye kullanılabileceklerini tespit etme ve düzeltmeler önerme süreciyle çalışır. Aardvark, fuzzing veya yazılım bileşeni analizi gibi klasik program analizi tekniklerini temel almaz. Bunun yerine, LLM destekli akıl yürütme ve araç kullanımından yararlanarak kod davranışını anlamayı ve güvenlik açıklarını tespit etmeyi amaçlar. Aardvark, tıpkı bir insan güvenlik araştırmacısının yapabileceği şekilde hataları arar: Kodları okur, analiz eder, testler hazırlayıp yürütür, araçları kullanır vb.

Git deposundan başlayarak tehdit modelleme, güvenlik açığı bulma, korumalı ortamda doğrulama, Codex ile yama uygulama ve çekme isteğiyle sonuçlanan bir insan gözden geçirme sürecinden oluşan akışı gösteren “AARDVARK: Güvenlik Açığı Bulma Ajanı İş Akışı" başlıklı şema.

Aardvark, güvenlik açıklarını tespit etmek, açıklamak ve düzeltmek için çok aşamalı bir işlem dizisini temel alır.

  • Analiz: Süreç, deponun tamamı analiz edilerek projenin güvenlik hedefleri ve tasarımına ilişkin anlayışı yansıtan bir tehdit modelinin üretilmesiyle başlar.
  • Kod değişikliği taraması: Bir kod değişikliği yapıldığında, bu değişikliği deponun tamamı ve tehdit modeliyle karşılaştırarak inceler ve güvenlik açıklarını tarar. Bir depo ilk kez bağlandığında, Aardvark deponun geçmişini tarayarak var olan sorunları tespit eder. Aardvark, koda insanlar tarafından gözden geçirilmesi için notlar ekleyerek, bulduğu güvenlik açıklarını adım adım açıklar.
  • Doğrulama: Aardvark potansiyel bir güvenlik açığı tespit ettiğinde, bu açığın kötüye kullanılabileceğini onaylamak için onu izole, korumalı bir ortamda tetiklemeye çalışır. Aardvark, uygulanan adımları açıklayarak kullanıcılara doğru, yüksek kaliteli ve yanlış pozitif oranı düşük olan analizlerin döndürülmesini sağlamaya yardımcı olur.
  • Yama uygulama: Aardvark, bulduğu güvenlik açıklarının düzeltilmesine yardımcı olması için OpenAI Codex ile entegre çalışır. İnsan tarafından gözden geçirilmesi ve tek tıklamayla uygulanabilmesi için her bulguya Codex tarafından üretilen ve Aardvark tarafından taranan bir yama ekler.

Aardvark, mühendislere destek olarak çalışır; GitHub, Codex ve var olan iş akışlarıyla entegre olarak, geliştirme sürecini yavaşlatmadan net, uygulanabilir içgörüler sunar. Aardvark, güvenlik için oluşturulmuş olsa da testlerimizde mantık hataları, tamamlanmamış düzeltmeler ve gizlilik sorunları gibi hataları da tespit edebildiğini gördük.

Gerçek etki, bugün

Aardvark, birkaç aydır hizmete alınmış durumda ve OpenAI ile üçüncü taraf alfa iş ortaklarımızın dahili kod tabanlarında kesintisiz bir şekilde çalışıyor. OpenAI'da anlamlı güvenlik açıklarını ortaya çıkardı ve OpenAI'ın savunma duruşuna katkıda bulundu. İş ortaklarımız ise Aardvark'ın analiz derinliğine vurgu yaptılar ve "yalnızca karmaşık koşullarda meydana gelen" sorunları tespit edebildiğini belirttiler.

"Altın" depolar üzerinde yapılan bir karşılaştırma testinde, Aardvark bilinen ve sentetik olarak oluşturulan güvenlik açıklarının %92'sini tespit ederek yüksek geri çağırma yeteneğini ve gerçek dünyadaki etkinliğini göstermiş oldu.

Açık Kaynak için Aardvark

Aardvark, açık kaynaklı projelere de uygulandı ve çok sayıda güvenlik açığı tespit etti. Sorumlu bir şekilde ilgili taraflara ilettiğimiz bu güvenlik açıklarından on tanesi Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) kimlikleri aldı.

Onlarca yıllık açık araştırmalardan ve açıklama sorumluluklarının yerine getirilmesinden fayda gören taraf olarak, biz de dijital ekosistemi herkes için daha güvenli hale getiren araçlar ve bulgularla bu çabaların karşılığını vermeye kararlıyız. Açık kaynaklı yazılım ekosisteminin ve tedarik zincirinin güvenliğine katkıda bulunmak amacıyla, ticari olmayan seçili açık kaynaklı depolara ücretsiz tarama sunmayı planlıyoruz.

Yakın zamanda üçüncü taraflarla iş birliğine dayalı bildirim politikamızı güncelledik. Geliştiriciler üzerinde baskı yaratabilecek katı açıklama takvimleri yerine iş birliğine ve ölçeklenebilir etkiye odaklanan bu politika, geliştirici dostu bir duruşa sahip. Aardvark gibi araçların giderek artan sayıda hatanın keşfedilmesine yol açacağını öngörüyor ve uzun vadeli dayanıklılığa ulaşmak için sürdürülebilir bir şekilde iş birliği yapmak istiyoruz.

Neden önemli?

Yazılım artık her sektörün bel kemiğini oluşturuyor; dolayısıyla yazılımlardaki güvenlik açıkları işletmelere, altyapılara ve topluma yönelik sistematik bir risk teşkil ediyor. Sadece 2024'te 40.000'den fazla CVE rapor edildi. Testlerimiz, yapılan kod değişikliklerinin yaklaşık %1,2'sinin hata içerdiğini gösteriyor ve bu küçük değişiklikler orantısız sonuçlara yol açma potansiyeli taşıyor.

Aardvark, yeni bir "önce savunma" modeli sunuyor: Kod geliştikçe sürekli koruma sunarak ekiplerle ortak çalışan ajan tabanlı bir güvenlik araştırmacısı. Aardvark, güvenlik açıklarını erkenden yakalayarak, gerçek dünyadaki kötüye kullanım olasılıklarını doğrulayarak ve net düzeltmeler önererek inovasyonu yavaşlatmadan güvenliği güçlendirebilir. Güvenlik uzmanlığına erişimin kapsamını genişletmeye inanıyoruz. Özel bir beta sürümüyle başlıyoruz; öğrendikçe kullanım kapsamını genişleteceğiz.

Özel beta sürümü şimdi açık

Seçili iş ortaklarımızı Aardvark özel beta sürümüne katılmaya davet ediyoruz. Katılımcılar erken erişim elde edecek ve doğrudan ekibimizle birlikte çalışarak algılama doğruluğunu, doğrulama iş akışlarını ve raporlama deneyimini iyileştirmeye katkıda bulunacaklar.

Farklı ortamlardaki performansı doğrulamak istiyoruz. Kuruluşunuz veya açık kaynaklı projeniz için katılmakla ilgileniyorsanız buradan başvurabilirsiniz.

Yazar

OpenAI

Katkıda bulunanlar

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight

Okumaya devam et

Tümünü görüntüle
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
ChatGPT belleği için daha güçlü bir temel

Araştırma

Rosalind5.5 ArtCard
GPT-Rosalind’e yeni yetenekler kazandırıyoruz

Ürün

1 1 Art Card
Her rol, araç ve iş akışı için Codex

Ürün