OpenAI представила Aardvark — автономного исследователя безопасности на базе GPT-5

Компания OpenAI анонсировала запуск Aardvark — автономного агента для поиска уязвимостей в программном коде, работающего на основе GPT-5. Новый инструмент предназначен для помощи разработчикам и командам безопасности в обнаружении и исправлении потенциальных угроз в масштабе.

Как работает Aardvark

Aardvark непрерывно анализирует репозитории исходного кода, выявляя уязвимости, оценивая возможность их эксплуатации, определяя приоритеты серьезности и предлагая целенаправленные исправления.

В отличие от традиционных методов анализа программ, таких как фаззинг или анализ состава программного обеспечения, Aardvark использует LLM-рассуждения и инструментарий для понимания поведения кода и выявления уязвимостей. Система ищет ошибки так же, как это делает человек-исследователь безопасности: читая код, анализируя его, создавая и запуская тесты, используя инструменты и многое другое.

Многоступенчатый конвейер работы Aardvark включает:

• Анализ: полное сканирование репозитория для создания модели угроз, отражающей понимание целей безопасности проекта
• Сканирование коммитов: проверка изменений на уровне коммитов с учетом всей кодовой базы и модели угроз
• Валидация: попытка воспроизвести потенциальную уязвимость в изолированной песочнице для подтверждения эксплойтабельности
• Исправление: интеграция с OpenAI Codex для создания патчей с последующей проверкой Aardvark

Реальные результаты

Aardvark уже несколько месяцев работает во внутренних кодовых базах OpenAI и внешних партнеров альфа-тестирования. Система продемонстрировала способность находить проблемы, возникающие только в сложных условиях.

В бенчмарк-тестировании на «золотых» репозиториях Aardvark идентифицировал 92% известных и искусственно внесенных уязвимостей.

Применение к открытым проектам уже привело к обнаружению многочисленных уязвимостей, десять из которых получили идентификаторы CVE.

92% обнаружения в бенчмарках звучит впечатляюще, но реальная ценность Aardvark — в его способности находить сложные, контекстно-зависимые баги, которые традиционные сканеры пропускают. Интересно, насколько система устойчива к ложным срабатываниям — это всегда было ахиллесовой пятой автоматизированного анализа безопасности.

Значение для индустрии

Программное обеспечение стало основой каждой отрасли, что делает уязвимости системным риском для бизнеса, инфраструктуры и общества. Только в 2024 году было зарегистрировано более 40 000 CVE. Тестирование OpenAI показывает, что примерно 1,2% коммитов вносят ошибки.

Aardvark представляет новую модель безопасности, ориентированную на защитников: автономный исследователь, который сотрудничает с командами, обеспечивая непрерывную защиту по мере эволюции кода.

Сейчас доступна закрытая бета-версия для отобранных партнеров. OpenAI также планирует предложить бесплатное сканирование для избранных некоммерческих открытых репозиториев.

По материалам OpenAI.