OpenAI 推出 GPT-5 驱动的安全卫士Aardvark：Codex 绝佳搭档

软件安全来了新帮手！

OpenAI 刚刚宣布推出 Aardvark，一个由 GPT-5 驱动的自主安全研究智能体，目前正在私有测试阶段。

软件安全一直是技术领域最关键也最具挑战性的前沿阵地。

每年，企业和开源代码库中都会发现数万个新漏洞。防守方面临着艰巨的任务——必须在攻击者之前找到并修复漏洞。

名字解读（by Krishna Kaasyap)：

Aardvark，非洲夜行性食蚁兽，一种几乎只以蚂蚁和白蚁为食的独居生物！就像你们的一样——在夜间（异步）独自（单个智能体 GPT-5）吃掉蚂蚁和白蚁（bugs）。

Aardvark 如何工作

Aardvark 能够持续分析源代码仓库，识别漏洞、评估可利用性、确定严重程度优先级，并提出针对性的补丁。

与传统的程序分析技术不同，Aardvark 不依赖模糊测试或软件组成分析。

它使用基于 LLM 的推理和工具使用能力来理解代码行为并识别漏洞。就像人类安全研究员一样：阅读代码、分析、编写和运行测试、使用工具等等。

Aardvark 通过多阶段流水线来识别、解释和修复漏洞：

分析阶段：首先分析整个代码库，生成反映项目安全目标和设计理解的威胁模型。

提交扫描：当新代码提交时，它会根据整个代码库和威胁模型扫描提交级别的更改以查找漏洞。首次连接代码库时，Aardvark 会扫描历史记录以识别现有问题。

验证环节：一旦 Aardvark 识别出潜在漏洞，它会尝试在隔离的沙盒环境中触发它以确认其可利用性。Aardvark 会描述所采取的步骤，以确保返回给用户的洞察准确、高质量且低误报。

补丁生成：Aardvark 与 OpenAI Codex 集成，帮助修复它发现的漏洞。它为每个发现附加一个 Codex 生成并经 Aardvark 扫描的补丁，供人工审查和一键修补。

实际效果

Aardvark 已经运行了几个月，持续在 OpenAI 的内部代码库和外部 alpha 合作伙伴的代码库上运行。

在 OpenAI 内部，它发现了有意义的漏洞并为 OpenAI 的防御态势做出了贡献。

在「黄金」代码库的基准测试中，Aardvark 识别出了92% 的已知和合成引入的漏洞，展示了高召回率和实际效果。

Aardvark 还被应用于开源项目，已经发现并负责任地披露了众多漏洞——其中十个已获得 CVE 标识符。

重要性

软件现在是每个行业的支柱。

这意味着软件漏洞是对企业、基础设施和社会的系统性风险，而仅 2024 年就报告了超过 40,000 个 CVE。

OpenAI 的测试显示，大约1.2% 的提交会引入错误，看似微小的变化可能会产生巨大的后果。

Aardvark 代表了一种新的防守者优先模型：一个智能安全研究员，通过在代码演进时提供持续保护来与团队合作。

通过早期捕获漏洞、验证实际可利用性并提供清晰的修复方案，Aardvark 可以在不减缓创新的情况下加强安全。

ND(@Neil_Dagger) 问道：

它会删除 GitHub 上所有那些 OpenAI API 密钥吗？

测试开放

OpenAI 正在邀请选定的合作伙伴加入 Aardvark 私有测试。

参与者将获得早期访问权限，并直接与团队合作改进检测准确性、验证工作流程和报告体验。

OpenAI 正在寻求在各种环境中验证性能。如果您的组织或开源项目有兴趣加入，可以通过官方链接申请。

不得不说，这真的是一个绝佳的商业模式：

“我们有一个引入安全漏洞的智能体（Codex），还有一个修复安全漏洞的智能体（Aardvark）。”

而接下来还会有更多，当一个人手里有一把锤子时，所有东西看起来都像钉子。

在手持 GPT-5 的 OpenAI 眼里，或许，一切都将成为钉子。

思考题：

你是什么钉子？

[1]

官方介绍:https://openai.com/index/introducing-aardvark/

[2]

申请使用:https://www.openai.com/form/aardvark-beta-signup

另外，我还用AI 进行了全网的AI 资讯采集，并用AI 进行挑选、审核、翻译、总结后发布到《AGI Hunt》的实时AI 快讯群中。

也欢迎加群和10000+群友交流。