侧边栏壁纸
博主头像
青云TOP-AI综合资源站平台|青云聚合API大模型调用平台|全网AI资源导航平台

行动起来,活在当下

  • 累计撰写 1796 篇文章
  • 累计创建 625 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录
AI工具应用 AI新闻/评测

隆重推出 Aardvark:OpenAI 的智能安全防护研究助手

Administrator
Administrator
2025-11-13 / 0 评论 / 0 点赞 / 0 阅读 / 0 字

📢 转载信息

原文链接:https://openai.com/index/introducing-aardvark

原文作者:OpenAI

2025年10月30日

今日,我们正式发布由 GPT‑5 提供技术支持的智能安全防护研究助手 Aardvark


软件安全防护是科技领域最关键也最具挑战性的前沿阵地。每年,企业和开源代码库中都会发现数万个新漏洞。安全防御人员必须在攻击者之前完成漏洞发现与修复的艰巨任务。OpenAI 致力于扭转这种局面,让安全防御人员占据优势。


Aardvark 标志着 AI 与安全防护研究的重大突破:这款自主智能体可协助开发人员与安全防护团队大规模发现并修复安全漏洞。Aardvark 现已启动内测,旨在实战环境中验证并完善其能力体系。


Aardvark 工作原理

Aardvark 持续分析源代码仓库,以识别漏洞、评估可利用性、确定严重程度优先级,并提出有针对性的修补方案。


Aardvark 通过监控代码库的提交与变更,在识别漏洞的同时分析其潜在利用方式,并给出修复方案。Aardvark 不依赖模糊测试或软件成分分析等传统程序分析技术。相反,它运用 LLM 驱动的推理和工具调用能力来理解代码行为并识别漏洞。Aardvark 像人类安全防护研究员那样寻找漏洞:通过阅读代码、进行分析、编写运行测试、使用工具等多种方式。


标题为“AARDVARK — 漏洞发现智能体工作流程”的图表,展示从 Git 代码库到威胁建模、漏洞发现、验证沙盒、Codex 辅助修复,直至人工审核生成拉取请求的完整流程。

Aardvark 采用多阶段流程来识别、解释和修复漏洞:


  • 分析:首先全面扫描代码仓库,生成反映项目安全防护目标与设计架构的威胁模型
  • 提交扫描:在提交新代码时,通过检查提交级别的变更,对整个代码库和威胁模型进行比对,从而扫描潜在的漏洞。初次接入代码仓库时,Aardvark 会扫描历史记录以识别既有问题。Aardvark 会逐步解释发现的漏洞,并对代码进行注释以供人工审核。
  • 验证:识别潜在漏洞后,Aardvark 会在隔离的沙盒环境中尝试触发漏洞,以确认其可利用性。Aardvark 会详细说明验证步骤,确保向用户返回精准、高质量且低误报的安全洞察。
  • 修复:Aardvark 集成 OpenAI Codex 辅助修复发现的漏洞。每个检测结果均附有经 Aardvark 扫描的 Codex 生成补丁,供人工审核,并支持高效的一键式修补。

Aardvark 与工程师协同工作,集成 GitHub、Codex 及现有工作流程,在不减缓开发进度的前提下,提供清晰且可执行的洞察。虽然专为安全防护设计,但测试表明,Aardvark 还能揭示逻辑缺陷、不完整修复及隐私问题等各类漏洞。


目前实效

Aardvark 已投入使用数月,持续在 OpenAI 内部代码库及外部 alpha 合作伙伴环境中运行。在 OpenAI 内部,它已成功发现具有实际影响的安全漏洞,促使 OpenAI 加强了防御措施。合作伙伴特别强调其分析深度,Aardvark 甚至能够发现仅在复杂条件下才会出现的问题。


在针对“黄金”代码库的基准测试中,Aardvark 成功识别 92% 的已知和人为注入漏洞,展现出较高的召回率和实际应用效果。


面向开源项目的 Aardvark

Aardvark 还被应用于开源项目,在这些项目中它发现了大量漏洞,我们已负责任地披露了这些漏洞,其中十个漏洞获得了通用漏洞暴露 (CVE) 标识符。


作为数十年开放研究与负责任漏洞披露的受益者,我们致力于回馈社区,通过贡献工具与研究成果,为所有人打造更安全的数字生态系统。我们计划为选定的非商业开源项目提供免费安全扫描,以助力开源软件生态系统及供应链的安全建设。


我们近期已更新外部协调披露政策,采取更贴近开发人员的立场:注重协作关系与规模化影响,而非可能给开发人员带来压力的硬性披露时限。我们预计,像 Aardvark 这样的工具将导致发现越来越多的漏洞,并希望通过可持续合作共同构建长期安全韧性。


重要性

软件已成为各行各业的支柱,这意味着软件漏洞对企业、基础设施和社会构成系统性风险。仅 2024 年报告的 CVE 漏洞已超过 4 万个。我们的测试表明,约 1.2% 的代码提交会引入漏洞,这些微小改动可能引发巨大后果。


Aardvark 开创了“防御者优先”新模式:作为智能安全研究助手,它通过持续保护代码演进过程与团队形成伙伴关系。通过及早发现漏洞、验证其在实际环境中的可利用性并提供清晰修复方案,Aardvark 能够在不阻碍创新的前提下增强安全防护。我们致力于让更多人获得安全防护专业知识。我们首先推出内测版,并会根据反馈逐步扩大服务范围。


内测现已启动

我们诚邀部分合作伙伴加入 Aardvark 内测。参与者将获得抢先体验资格,并可与我们的团队直接合作,共同优化检测精度、验证流程和报告体验。


我们希望在各种环境下验证其性能。如果你所在的组织或开源项目有意加入,请在此处申请



🚀 想要体验更好更全面的AI调用?

欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。

0
版权归属: Administrator
本文链接: https://qingyuntop.top/archives/aardvarkopenai-e63cia
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区