OpenAI 宣布推出其新产品 Aardvark,这是一款基于 GPT-5的智能安全研究助手,旨在提升软件安全性。随着每年数万种新漏洞的出现,开发者和安全团队面临着发现和修补漏洞的巨大挑战。Aardvark 的出现,旨在帮助开发者和安全团队以更高效的方式发现和修复安全漏洞。

image.png

Aardvark 通过持续分析源代码库,能够识别漏洞、评估其可利用性、优先排序以及提出修复方案。与传统的程序分析方法不同,Aardvark 利用大语言模型(LLM)的推理能力和工具使用能力,像人类安全研究员一样阅读代码、分析、编写和运行测试。

Aardvark 的工作流程包括多个阶段。首先,它会分析整个代码库以建立一个反映项目安全目标和设计的威胁模型。接着,在新的代码提交时,Aardvark 会检查提交的变化,寻找潜在漏洞。当首次连接代码库时,它还会扫描历史记录,识别出现有的问题。然后,Aardvark 会在隔离的沙盒环境中验证潜在漏洞的可利用性,并详细描述所采取的步骤。最后,它与 OpenAI Codex 集成,帮助开发者为发现的漏洞生成修复补丁,并方便地进行人工审核和一键修复。

在过去几个月的测试中,Aardvark 已在 OpenAI 的内部代码库和一些外部合作伙伴的项目中运行,成功发现了多处重要漏洞,并对 OpenAI 的安全防御产生了积极影响。其在 “黄金” 代码库的基准测试中,识别了92% 的已知和合成引入的漏洞,证明了其高效性和实用性。

此外,Aardvark 还被应用于开源项目,发现了多项漏洞,并进行了负责任的披露。目前,OpenAI 计划为一些非商业性的开源项目提供免费扫描服务,致力于提高开源软件生态系统的安全性。

随着软件成为各行各业的基础,软件漏洞的风险也日益凸显。Aardvark 的推出,标志着一个以防御者为中心的新模式,能够在代码演变过程中持续保护系统。OpenAI 已开启 Aardvark 的私人测试阶段,邀请有兴趣的合作伙伴参与,进一步验证其性能。

官方博客:https://openai.com/index/introducing-aardvark/

划重点:

🌟 Aardvark 是 OpenAI 推出的智能安全研究助手,帮助开发者发现和修复软件漏洞。  

🔍 它通过分析代码库、建立威胁模型以及验证漏洞的可利用性,实现高效漏洞检测。  

🤝 OpenAI 计划为非商业开源项目提供免费扫描服务,提升整个开源生态的安全性。