共计 1586 个字符,预计需要花费 4 分钟才能阅读完成。
今天,OpenAI 宣布推出 Aardvark,这是一款由 GPT-5 驱动的自主安全研究工具。在软件安全这一技术领域中最关键且最具挑战性的前沿,Aardvark 的出现标志着人工智能与安全研究的重大突破。这款工具旨在帮助开发者和安全团队大规模发现和修复安全漏洞,目前已经进入私有测试阶段,以验证和完善其在实际应用中的能力。,
Aardvark 的工作原理
Aardvark 通过持续分析源代码库,识别漏洞、评估其可利用性、优先排序严重性,并提出针对性修补方案。与传统程序分析技术不同,Aardvark 不依赖于模糊测试或软件成分分析,而是利用 LLM 驱动的推理和工具使用来理解代码行为并识别漏洞。它像人类安全研究人员一样工作:阅读代码、分析代码、编写和运行测试、使用工具等。
- <br />
– <br />
– 
实际影响
Aardvark 已经服务了几个月,持续运行在 OpenAI 的内部代码库和外部 alpha 合作伙伴的代码库中。在 OpenAI 内部,它发现了有意义的漏洞,并为 OpenAI 的防御态势做出了贡献。合作伙伴强调了其分析的深度,Aardvark 发现了仅在复杂条件下出现的问题。
在“黄金”代码库的基准测试中,Aardvark 识别了 92% 的已知和合成引入的漏洞,展示了高召回率和实际有效性。,
Aardvark 用于开源
Aardvark 也被应用于开源项目,发现并负责任地披露了许多漏洞——其中十个已获得通用漏洞披露(CVE)标识符。作为数十年开放研究和负责任披露的受益者,OpenAI 致力于回馈——贡献工具和发现,使数字生态系统对每个人都更安全。他们计划为选定的非商业开源代码库提供无偿扫描,以促进开源软件生态系统和供应链的安全性。
OpenAI 最近更新了其外联协调披露政策,采取开发者友好的立场,专注于协作和可扩展的影响,而不是可能给开发者带来压力的严格披露时间表。他们预计像 Aardvark 这样的工具将导致越来越多的漏洞被发现,并希望可持续地协作以实现长期韧性。,
为什么这很重要
软件现在是每个行业的支柱——这意味着软件漏洞对企业、基础设施和社会构成系统性风险。仅 2024 年就报告了超过 40,000 个 CVE。OpenAI 的测试显示,大约 1.2% 的提交引入了漏洞——这些小的变更可能产生巨大的后果。
Aardvark 代表了一种新的防御者优先模式:一种与团队合作的自主安全研究工具,随着代码的演变提供持续的保护。通过早期发现漏洞、验证实际可利用性并提供明确的修复方案,Aardvark 可以在不减缓创新的情况下加强安全性。OpenAI 相信扩大安全专业知识的获取,从私有测试开始,并将随着学习的深入扩大可用性。,
私有测试现已开放
OpenAI 邀请选定的合作伙伴加入 Aardvark 私有测试。参与者将获得早期访问权限,并直接与他们的团队合作,完善检测准确性、验证工作流程和报告体验。他们希望在各种环境中验证性能。
