侧边栏壁纸
博主头像
青云TOP-AI综合资源站平台|青云聚合API大模型调用平台|全网AI资源导航平台

行动起来,活在当下

  • 累计撰写 1297 篇文章
  • 累计创建 492 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录
AI工具应用 AI新闻/评测

推出Aardvark:OpenAI的代理式安全研究员

Administrator
Administrator
2025-10-31 / 0 评论 / 0 点赞 / 0 阅读 / 0 字

📢 转载信息

原文链接:https://openai.com/index/introducing-aardvark

原文作者:OpenAI

2025年10月30日

今天,我们宣布推出Aardvark,这是一款由GPT‑5驱动的代理式安全研究员。

软件安全是技术领域中最关键但也最具挑战性的前沿阵地之一。每年,企业和开源代码库中都会发现数以万计的新漏洞。防御者面临着在对手之前发现和修补漏洞的艰巨任务。在OpenAI,我们正致力于将这种平衡倾向于防御者一方。

Aardvark代表了人工智能和安全研究的一项突破:它是一个自主代理,可以帮助开发人员和安全团队大规模地发现和修复安全漏洞。Aardvark现已向私人测试版开放,以便在实际环境中验证和完善其能力。

如何运作的Aardvark

Aardvark持续分析源代码仓库,以识别漏洞、评估可利用性、确定优先级并提出有针对性的补丁。

Aardvark的工作原理是监控代码库的提交和变更,识别漏洞、这些漏洞可能如何被利用,并提出修复方案。Aardvark不依赖于传统的程序分析技术,如模糊测试(fuzzing)或软件组成分析(SCA)。相反,它利用由LLM驱动的推理和工具使用能力来理解代码行为并识别漏洞。Aardvark寻找Bug的方式就像人类安全研究员一样:通过阅读代码、分析代码、编写和运行测试、使用工具等等。

Diagram titled “AARDVARK — Vulnerability Discovery Agent Workflow” showing a process flow from Git repository to threat modeling, vulnerability discovery, validation sandbox, patching with Codex, and human review leading to a pull request。

Aardvark依靠一个多阶段的流程来识别、解释和修复漏洞:

  • 分析 (Analysis):它首先分析整个代码仓库,生成一个威胁模型,反映其对项目安全目标和设计的理解。
  • 提交扫描 (Commit scanning):随着新代码的提交,它会根据整个代码仓库和威胁模型来检查提交级别的变更,以扫描漏洞。当首次连接代码仓库时,Aardvark将扫描其历史记录以识别现有问题。Aardvark会逐步解释它发现的漏洞,并为人工审查添加代码注释。
  • 验证 (Validation):一旦Aardvark识别出潜在漏洞,它将尝试在一个隔离的、沙盒化的环境中触发该漏洞,以确认其可被利用性。Aardvark会描述所采取的步骤,以确保向用户返回准确、高质量和低误报的洞察。
  • 打补丁 (Patching):Aardvark与OpenAI Codex集成,以帮助修复它发现的漏洞。它会为每个发现的问题附上一个由Codex生成并经Aardvark扫描的补丁,供人工审查和高效的一键修复。

Aardvark与工程师协同工作,与GitHub、Codex和现有工作流程集成,提供清晰、可操作的见解,而不会减慢开发速度。虽然Aardvark是为安全而构建的,但在我们的测试中,我们发现它还可以发现逻辑缺陷、不完整的修复和隐私问题等Bug。

今天的实际影响

Aardvark已投入使用数月,持续运行在OpenAI的内部代码库以及外部Alpha合作伙伴的代码库中。在OpenAI内部,它发现了有意义的漏洞,并增强了OpenAI的防御态势。合作伙伴强调了其分析的深度,Aardvark发现了仅在复杂条件下才会出现的问。

在“黄金”代码库的基准测试中,Aardvark识别出了92%的已知和合成引入的漏洞,展示了高召回率和实战有效性。

开源的Aardvark

Aardvark也被应用于开源项目,在那里它发现了许多我们已负责任披露的漏洞——其中十个已获得通用漏洞披露(CVE)标识符。

作为几十年来开源研究和负责任披露的受益者,我们承诺回馈社区——贡献工具和发现,让数字生态系统对每个人来说都更安全。我们计划为选定的非商业开源代码库提供免费扫描服务,以促进开源软件生态系统和供应链的安全性。

我们最近更新了我们的出站协调披露政策,该政策采取了对开发人员友好的立场,侧重于协作和可扩展的影响,而不是可能给开发人员带来压力的僵化披露时间表。我们预计像Aardvark这样的工具将导致越来越多的Bug被发现,并希望能够可持续地合作以实现长期的弹性。

为什么它很重要

软件现已成为每个行业的支柱——这意味着软件漏洞是企业、基础设施和社会的系统性风险。仅2024年就报告了超过40,000个CVE。我们的测试表明,大约1.2%的提交会引入Bug——这些微小的变更可能会产生不成比例的后果。

Aardvark代表了一种新的防御者优先模型:一个与团队合作的代理式安全研究员,随着代码的演进提供持续的保护。通过尽早捕获漏洞、验证真实世界的可利用性并提供明确的修复方案,Aardvark可以在不减慢创新的情况下加强安全性。我们相信应扩大对安全专业知识的访问。我们从私人测试版开始,随着学习的深入将扩大可用性。

私人测试版现已开放

我们邀请选定的合作伙伴加入Aardvark私人测试版。参与者将获得早期访问权限,并与我们的团队直接合作,以完善检测准确性、验证工作流程和报告体验。

我们希望在各种环境中验证其性能。如果您的组织或开源项目有兴趣加入,您可以在此申请



🚀 想要体验更好更全面的AI调用?

欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。

0
安全 编程开发 GPT-5 Thinking Agentic AI OpenAI AI技术突破 AI公司动态
版权归属: Administrator
本文链接: https://qingyuntop.top/archives/introducing-aardvark-openais-agentic-security-researcher-e63cia
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区