OpenAI最新推出的Aardvark是一款基于GPT-5的AI资安工具,旨在革新代码漏洞检测与修复流程。与传统工具不同,Aardvark采用LLM推理能力,能够深入理解代码库结构,建立威胁模型,并逐行分析代码以发现逻辑错误、历史遗留问题及隐私漏洞。它不仅能全面扫描代码库,还能实时监控代码提交,即时检测新漏洞。Aardvark的处理流程包括代码分析、威胁建模、提交扫描、沙盒验证,并能自动生成修补代码并通过Pull Request提交,显著提升开发效率和安全性。在测试中,Aardvark展现了高达92%的漏洞检测率,并已在多个开源项目中发现并报告了具有CVE编号的安全问题。
🛡️ **AI驱动的代码安全分析:** Aardvark利用GPT-5的LLM推理能力,能够像人类安全专家一样深入分析代码库,理解其整体架构,并建立威胁模型。它通过逐行代码审查,能有效识别逻辑错误、未修复的历史问题以及与隐私相关的漏洞,这标志着其与依赖模糊测试或静态分析的传统工具有着根本性的区别。
🚀 **全流程自动化漏洞处理:** Aardvark提供了一个完整的漏洞处理流程,包括代码库分析、威胁建模、实时监控每次代码提交、沙盒环境中的可利用性验证以降低误报,以及最终通过Codex自动生成修补代码并提供一键提交Pull Request的功能。这一自动化流程旨在不中断开发速度的前提下,快速实现高质量的代码修复。
📈 **卓越的检测性能与广泛应用:** 在基准测试中,Aardvark显示出92%的已知及人工引入漏洞的检测率,远超许多传统工具。OpenAI已将其应用于内部开发,并与外部测试伙伴合作,成功揭露了多个具有实际影响力的安全问题。此外,Aardvark还在开源社区中发挥作用,已帮助发现并报告了至少10个获得CVE编号的漏洞,未来将为部分非商业开源项目提供免费扫描服务。
💡 **主动防御与早期预警:** 鉴于软件在现代行业中的核心地位以及漏洞数量的不断增长(2024年已公开超过4万个),Aardvark被定位为防御者的优先模型。它能够识别自然引入新错误的提交(约占1.2%),从而在漏洞被利用之前提供早期预警,并给出可行的修补方案,有效降低了软件漏洞对产业和社会的潜在风险。
OpenAI周四(10/30)發表了基於GPT-5的AI資安工具Aardvark,它能像人類資安專家一樣分析程式碼、找出漏洞並自動提出修補方案。
Aardvark的核心設計是以LLM推理為基礎,而非傳統工具如fuzzing或軟體組件分析。它能讀懂整個程式庫的架構、建立威脅模型,並以逐行理解的方式發現邏輯錯誤、未完整修補的歷史問題與隱私相關漏洞。當儲存庫被連結後,Aardvark會先全面掃描歷史,之後持續監控每一次提交,並在程式碼變動時即時偵測新漏洞。
整個漏洞處理流程包含四大階段:首先進行程式碼庫的分析,建立威脅模型;其次,對每次提交進行比對與掃描;第三步在沙盒(Sandbox)環境中嘗試實際觸發漏洞,確認可利用性並降低誤報;最後,Aardvark會透過Codex生成修補程式碼,並附上一鍵提交Pull Request的選項。OpenAI表示,這能讓工程團隊在不打斷開發速度的情況下,快速採用高品質修補。
在基準測試中,Aardvark可找出92%的已知與人工加入漏洞,偵測率遠高於多數傳統工具。OpenAI表示,Aardvark已於該公司內部協助揭露多個具實際影響力的安全問題,外部測試夥伴亦發現Aardvark可找到只有在高度複雜條件下才會出現的安全漏洞。
OpenAI亦將Aardvark應用於開源領域,迄今已於多個開源專案中找到並揭露漏洞,其中有至少10個已取得CVE編號。未來OpenAI將提供部分非商業開源專案免費掃描。
OpenAI認為,現在所有的行業都靠軟體運作,因此只要是軟體有漏洞,就會造成產業與社會的風險,光是2024年就有超過4萬個漏洞被公開,此外,其內部測試顯示,約有1.2%的程式碼提交會自然引入新的臭蟲,這也使得Aardvark被當作防禦者優先模型,可於漏洞尚未被利用之前早期預警,並提供可行的修補方案。
Aardvark目前處於私人測試階段,OpenAI正邀請特定合作夥伴參與測試,未來將逐步擴大使用範圍。
