آج، ہم Aardvark کا اعلان کر رہے ہیں، جو GPT‑5 کے ذریعے تقویت یافتہ ایک ایجنٹک سیکیورٹی ریسرچر ہے۔
سافٹ ویئر سیکیورٹی ٹیکنالوجی کے میدان میں سب سے اہم—اور چیلنجنگ—سرحدوں میں سے ایک ہے۔ ہر سال، دسیوں ہزار نئی کمزوریاں انٹرپرائز اور اوپن سورس کوڈ بیسز میں دریافت کی جاتی ہیں۔ مدافعین کو اپنے مخالفین سے پہلے کمزوریوں کو تلاش کرنے اور ان کی اصلاح کرنے کے مشکل ٹاسکس کا سامنا ہوتا ہے۔ OpenAI میں، ہم مدافعین کے حق میں توازن کو جھکانے کے لیے کام کر رہے ہیں۔
Aardvark AI اور سیکیورٹی تحقیق میں ایک انقلابی پیش رفت کی نمائندگی کرتا ہے: ایک خود مختار ایجنٹ جو ڈویلپرز اور سیکیورٹی ٹیموں کو بڑے پیمانے پر سیکیورٹی کی خامیوں کو دریافت کرنے اور درست کرنے میں مدد فراہم کر سکتا ہے۔ Aardvark اب نجی بِیٹا میں دستیاب ہے تاکہ میدان میں اس کی صلاحیتوں کو جانچا اور بہتر بنایا جا سکے۔
Aardvark خطرات کی نشاندہی کرنے، استحصال کا اندازہ لگانے، شدت کو ترجیح دینے، اور ہدفی پیچ تجویز کرنے کے لیے سورس کوڈ کے ذخیروں کا مسلسل تجزیہ کرتا ہے۔
Aardvark کوڈ بیسز میں کمیٹس اور تبدیلیوں کی نگرانی کر کے کام کرتا ہے، کمزوریوں کی نشاندہی کرتا ہے، ان کے استحصال کے ممکنہ طریقے بتاتا ہے، اور اصلاحات کی تجاویز پیش کرتا ہے۔ Aardvark روایتی پروگرام تجزیہ کی تکنیکوں جیسے کہ فزنگ یا سافٹ ویئر کمپوزیشن تجزیہ پر انحصار نہیں کرتا ہے۔ اس کے بجائے، یہ LLM سے تقویت یافتہ استدلال اور ٹول کے استعمال کو کوڈ کے رویے کو سمجھنے اور کمزوریوں کی نشاندہی کرنے کے لیے استعمال کرتا ہے۔ Aardvark بگز/خامیوں کو تلاش کرتا ہے جیسے کہ ایک انسانی سیکیورٹی ریسرچر کر سکتا ہے: کوڈ کو پڑھ کر، اس کا تجزیہ کر کے، ٹیسٹ لکھ کر اور چلا کر، ٹولز کا استعمال کر کے، اور مزید کے ساتھ۔
Aardvark کمزوریوں کی شناخت، وضاحت، اور ان کو درست کرنے کے لیے ایک کثیر مرحلہ وار پائپ لائن پر انحصار کرتا ہے:
- تجزیہ: یہ مکمل ریپوزٹری کا تجزیہ کرنے سے شروع ہوتا ہے تاکہ پروجیکٹ کے سیکیورٹی مقاصد اور ڈیزائن کی تفہیم کی عکاسی کرنے والا ایک خطرہ ماڈل تیار کیا جا سکے۔
- کمٹ اسکیننگ: یہ کمٹ سطح کی تبدیلیوں کا معائنہ کرتے ہوئے پورے ریپوزٹری اور خطرے کے ماڈل کے خلاف خامیوں/کمزوریوں کے لیے اسکین کرتا ہے جب نیا کوڈ کمٹ کیا جاتا ہے۔ جب ایک ریپوزٹری پہلی بار کنیکٹ کی جاتی ہے، تو Aardvark اس کی ہسٹری کو اسکین کرے گا تاکہ موجودہ مسائل کی شناخت کی جا سکے۔ Aardvark ان کمزوریوں کی مرحلہ وار وضاحت کرتا ہے جو وہ دریافت کرتا ہے، اور انسانی جائزے کے لیے کوڈ کی تشریح کرتا ہے۔
- توثیق کاری: جب Aardvark کسی ممکنہ کمزوری کی نشاندہی کرتا ہے، تو یہ اس کی استحصال کی قابلیت کی تصدیق کے لیے اسے ایک علیحدہ، محفوظ سینڈباکس ماحول میں متحرک کرنے کی کوشش کرے گا۔ Aardvark ان اقدامات کی وضاحت کرتا ہے جو صارفین کو درست، اعلیٰ معیار کی، اور کم غلط مثبت بصیرتیں فراہم کرنے کو یقینی بنانے میں مدد کرتے ہیں۔
- پیچنگ: Aardvark، OpenAI Codex کے ساتھ انضمام کرتا ہے تاکہ وہ دریافت شدہ خامیوں/کمزوریوں کو درست کرنے میں مدد دے۔ یہ ہر دریافت کے ساتھ Codex کے ذریعے جنریٹ کردہ اور Aardvark کے ذریعے اسکین کردہ پیچ کو انسانی جائزے اور مؤثر، ایک کلک پیچنگ کے لیے منسلک کرتا ہے۔
Aardvark انجینئرز کے ساتھ مل کر کام کرتا ہے، GitHub، Codex، اور پیش رفت کی رفتار کو سست کیے بغیر، موجودہ ورک فلو کے ساتھ ضم ہو کر واضح اور قابل عمل بصیرت فراہم کرتا ہے۔ اگرچہ Aardvark سیکیورٹی کے لئے بنایا گیا ہے، لیکن ہماری جانچ میں ہم نے پایا کہ یہ منطق کی خامیوں، نامکمل اصلاحات، اور پرائیویسی مسائل جیسے بگز کو بھی ظاہر کر سکتا ہے۔
Aardvark کئی مہینوں سے سروس میں ہے، اور یہ مسلسل OpenAI کے اندرونی کوڈ بیسز اور بیرونی الفا پارٹنرز کے کوڈ بیسز پر چل رہا ہے۔ OpenAI کے اندر، اس نے بامعنی کمزوریوں کو ظاہر کیا ہے اور OpenAI کے دفاعی موقف میں اپنی شراکت کی ہے۔ شراکت داروں نے اس کے تجزیے کی گہرائی کو اجاگر کیا ہے، جبکہ Aardvark نے ان مسائل کو تلاش کیا جو صرف پیچیدہ حالات میں پیش آتے ہیں۔
"گولڈن" ریپوزیٹریز پر بینچ مارک ٹیسٹنگ میں، Aardvark نے معلوم اور مصنوعی طور پر متعارف کرائی گئی 92% کمزوریوں کی نشاندہی کی، جو اعلیٰ ری کال اور حقیقی دنیا کی مؤثریت کو ظاہر کرتی ہے۔
Aardvark کو اوپن سورس پروجیکٹس پر بھی لاگو کیا گیا ہے، جہاں اس نے متعدد کمزوریاں دریافت کی ہیں اور ہم نے انہیں ذمہ داری کے ساتھ افشاء کیا ہے—جن میں سے دس کو کامن ولنریبلٹیز اینڈ ایکسپوژرز (CVE) شناخت کنندگان موصول ہوئے ہیں۔
ہم دہائیوں کی کھلی تحقیق اور ذمہ دارانہ انکشاف کے مستفیدین کے طور پر، واپس دینے کے لیے پرعزم ہیں—ایسے ٹولز اور نتائج میں تعاون کر رہے ہیں جو ڈیجیٹل ایکو سسٹم کو ہر ایک کے لیے محفوظ بناتے ہیں۔ ہم اوپن سورس سافٹ ویئر کے ماحولیاتی نظام اور سپلائی چین کی سیکیورٹی میں شراکت کرنے کے لیے منتخب غیر تجارتی اوپن سورس ریپوزٹریز کو پرو بونو اسکیننگ کی پیشکش کرنے کا پلان بناتے ہیں۔
ہم نے حال ہی میں اپنی آؤٹ باؤنڈ مربوط انکشاف کی پالیسی کو اپ ڈیٹ کیا ہے جو ڈویلپر دوستانہ نقطہ نظر اپناتی ہے، جو تعاون اور قابل پیمائش اثر پر مرکوز ہے، بجائے اس کے کہ سخت انکشاف کی ٹائم لائنز جو ڈویلپرز پر دباؤ ڈال سکتی ہیں۔ ہمیں توقع ہے کہ Aardvark جیسے ٹولز کی وجہ سے بگز/خامیوں کی تعداد میں اضافہ ہوگا، اور ہم طویل مدتی لچک حاصل کرنے کے لیے پائیدار طور پر تعاون کرنا چاہتے ہیں۔
سافٹ ویئر اب ہر صنعت کی ریڑھ کی ہڈی بن چکا ہے—جس کا مطلب ہے کہ سافٹ ویئر کی کمزوریاں کاروبار، بنیادی ڈھانچے، اور معاشرے کے لیے ایک نظامی خطرہ ہیں۔ صرف 2024 میں 40,000 سے زیادہ CVEs کی اطلاع دی گئی۔ ہماری جانچ سے پتہ چلتا ہے کہ تقریباً 1.2% کمیٹس بگز متعارف کراتے ہیں—چھوٹی تبدیلیاں جو بڑے نتائج پیدا کر سکتی ہیں۔
Aardvark ایک نیا دفاعی-فرسٹ ماڈل پیش کرتا ہے: ایک ایجنٹک سیکیورٹی ریسرچر جو کوڈ کے ارتقاء کے ساتھ مسلسل تحفظ فراہم کرتے ہوئے ٹیموں کے ساتھ شراکت داری کرتا ہے۔ کمزوریوں کو جلدی پکڑ کر، حقیقی دنیا میں استحصال کی تصدیق کر کے، اور واضح حل پیش کر کے، جدت کو سست کیے بغیر، Aardvark سیکیورٹی کو مضبوط بنا سکتا ہے۔ ہمیں یقین ہے کہ سیکیورٹی کی مہارت تک رسائی کو بڑھانا ضروری ہے۔ ہم ایک نجی بِیٹا کے ساتھ آغاز کر رہے ہیں اور جیسے جیسے ہم سیکھیں گے، دستیابی کو وسیع کریں گے۔
ہم منتخب شراکت داروں کو Aardvark کے نجی بِیٹا میں شامل ہونے کی دعوت دے رہے ہیں۔ شرکاء کو جلد رسائی حاصل ہوگی اور وہ ہماری ٹیم کے ساتھ براہِ راست کام کریں گے تاکہ ڈیٹیکشن کی درستگی، توثیقی ورک فلو، اور رپورٹنگ کے تجربے کو بہتر بنایا جا سکے۔
ہم مختلف ماحول میں کارکردگی کی تصدیق کرنے کے خواہاں ہیں۔ اگر آپ کی تنظیم یا اوپن سورس پروجیکٹ شامل ہونے میں دلچسپی رکھتا ہے، تو آپ یہاں درخواست دے سکتے ہیں۔
مصنف
شراکت دار
Akshay Bhat، Andy Nguyen، Dave Aitel، Harold Nguyen، Ian Brelinsky، Tiffany Citra، Xin Hu، Matt Knight
پڑھتے رہیں
