OpenAI 宣佈推出其新產品 Aardvark,這是一款基於 GPT-5的智能安全研究助手,旨在提升軟件安全性。隨着每年數萬種新漏洞的出現,開發者和安全團隊面臨着發現和修補漏洞的巨大挑戰。Aardvark 的出現,旨在幫助開發者和安全團隊以更高效的方式發現和修復安全漏洞。

image.png

Aardvark 通過持續分析源代碼庫,能夠識別漏洞、評估其可利用性、優先排序以及提出修復方案。與傳統的程序分析方法不同,Aardvark 利用大語言模型(LLM)的推理能力和工具使用能力,像人類安全研究員一樣閱讀代碼、分析、編寫和運行測試。

Aardvark 的工作流程包括多個階段。首先,它會分析整個代碼庫以建立一個反映項目安全目標和設計的威脅模型。接着,在新的代碼提交時,Aardvark 會檢查提交的變化,尋找潛在漏洞。當首次連接代碼庫時,它還會掃描歷史記錄,識別出現有的問題。然後,Aardvark 會在隔離的沙盒環境中驗證潛在漏洞的可利用性,並詳細描述所採取的步驟。最後,它與 OpenAI Codex 集成,幫助開發者爲發現的漏洞生成修復補丁,並方便地進行人工審覈和一鍵修復。

在過去幾個月的測試中,Aardvark 已在 OpenAI 的內部代碼庫和一些外部合作伙伴的項目中運行,成功發現了多處重要漏洞,並對 OpenAI 的安全防禦產生了積極影響。其在 “黃金” 代碼庫的基準測試中,識別了92% 的已知和合成引入的漏洞,證明了其高效性和實用性。

此外,Aardvark 還被應用於開源項目,發現了多項漏洞,並進行了負責任的披露。目前,OpenAI 計劃爲一些非商業性的開源項目提供免費掃描服務,致力於提高開源軟件生態系統的安全性。

隨着軟件成爲各行各業的基礎,軟件漏洞的風險也日益凸顯。Aardvark 的推出,標誌着一個以防禦者爲中心的新模式,能夠在代碼演變過程中持續保護系統。OpenAI 已開啓 Aardvark 的私人測試階段,邀請有興趣的合作伙伴參與,進一步驗證其性能。

官方博客:https://openai.com/index/introducing-aardvark/

劃重點:

🌟 Aardvark 是 OpenAI 推出的智能安全研究助手,幫助開發者發現和修復軟件漏洞。  

🔍 它通過分析代碼庫、建立威脅模型以及驗證漏洞的可利用性,實現高效漏洞檢測。  

🤝 OpenAI 計劃爲非商業開源項目提供免費掃描服務,提升整個開源生態的安全性。