OpenAI представила Aardvark, агента безопасности, работающего на базе GPT-5, который сейчас находится на стадии приватного бета-тестирования. Aardvark, разработанный для имитации рабочего процесса экспертов по безопасности, предлагает многоэтапный подход, основанный на искусственном интеллекте, для непрерывного анализа кода, проверки уязвимостей и автоматического применения патчей. Этот новый инструмент призван обеспечить масштабируемый механизм защиты для современных сред разработки программного обеспечения и в настоящее время проходит тестирование на внутренних и внешних кодовых базах.
Как работает Aardvark: Многоэтапный процесс безопасности
Aardvark работает как агентная система — непрерывно анализируя репозитории исходного кода. В отличие от традиционных методов, основанных на фаззинге или анализе состава программного обеспечения, Aardvark использует рассуждения LLM и возможности использования инструментов для интерпретации поведения кода и выявления потенциальных уязвимостей. Его процесс следует структурированной многоэтапной конвейерной цепочкой:
- Моделирование угроз: Aardvark начинает с загрузки всего репозитория кода для создания модели угроз — отражения предполагаемых целей безопасности и архитектурного дизайна программного обеспечения.
- Сканирование на уровне коммитов: При внесении изменений в код Aardvark сравнивает их с моделью угроз репозитория для выявления потенциальных уязвимостей. Он также выполняет первоначальное сканирование при подключении репозитория.
- Валидационная песочница: Выявленные уязвимости проверяются в безопасной, изолированной среде для подтверждения их эксплуатации, что позволяет минимизировать ложные срабатывания и повысить точность отчетов.
- Автоматическое применение патчей: Система интегрируется с OpenAI Codex для генерации потенциальных исправлений. Эти патчи затем представляются в виде запросов на внесение изменений для проверки и утверждения разработчиками.
Aardvark бесшовно интегрируется с GitHub, Codex и распространенными конвейерами разработки, обеспечивая непрерывное сканирование безопасности без вмешательства при этом сохраняя возможность проверки людьми благодаря четким аннотациям и воспроизводимости.
Первые результаты и производительность
OpenAI сообщает о впечатляющих результатах начального тестирования. В ходе тестирования на «золотых» репозиториях (где были намеренно внесены известные уязвимости) Aardvark обнаружил 92% всех проблем. Ключевые отличительные особенности агента — высокая точность и низкий уровень ложных срабатываний.
На сегодняшний день Aardvark обнаружил несколько критических проблем в проектах с открытым исходным кодом, что привело к присвоению десяти идентификаторов CVE. OpenAI подчеркивает свою приверженность ответственному раскрытию информации посредством обновленной политики скоординированного раскрытия информации, отдавая приоритет сотрудничеству, а не жестким срокам. Агент также выявил сложные проблемы, выходящие за рамки традиционных уязвимостей, включая логические ошибки, неполные исправления и риски конфиденциальности, что демонстрирует его более широкую полезность за пределами контекста, посвященного безопасности.
Требования и доступность
В настоящее время находясь на стадии приватного бета-тестирования, Aardvark доступен только организациям, использующим GitHub Cloud. Заинтересованные лица могут зарегистрироваться для участия в программе бета-тестирования онлайн. Участие требует:
- Интеграция с GitHub Cloud
- Приверженность взаимодействию с Aardvark и предоставлению обратной связи
- Согласие с условиями и политиками конфиденциальности, специфичными для бета-версии
OpenAI подтвердила, что код, отправленный в Aardvark во время бета-периода, не будет использоваться для обучения моделей. Компания также предлагает бесплатное сканирование уязвимостей для выбранных некоммерческих репозиториев с открытым исходным кодом для поддержания здоровья цепочки поставок программного обеспечения.
Стратегический контекст и будущие последствия
Запуск Aardvark свидетельствует о более широком вхождении OpenAI в рынок специализированных агентных систем на основе искусственного интеллекта. Это соответствует растущей тенденции создания агентов искусственного интеллекта, предназначенных для работы полуавтономно в реальных средах. Он присоединяется к агенту ChatGPT (выпущенному в июле 2025 года) и агенту для кодирования Codex AI (май 2025 года) в развивающемся наборе инструментов OpenAI.
В 2024 году было зарегистрировано более 40 000 Common Vulnerabilities and Exposures (CVE), и внутренние данные OpenAI показывают, что 1,2% всех коммитов кода вносят ошибки. Позиционирование Aardvark в качестве «AI-защитника» отвечает растущей потребности в инструментах безопасности, которые плотно интегрированы в рабочие процессы разработчиков.
Руководители службы безопасности с ограниченными возможностями команды могут найти в Aardvark инструмент, позволяющий повысить эффективность работы, оптимизировать процесс отбора и уменьшить количество предупреждений. Инженеры искусственного интеллекта, ответственные за интеграцию моделей в живые продукты, могут получить выгоду от способности Aardvark выявлять тонкие логические ошибки или неполные исправления, особенно в быстро меняющихся циклах разработки. Команды, управляющие AI в распределенных средах, оценят валидацию в песочнице и непрерывные циклы обратной связи Aardvark в конвейерах CI/CD. Наконец, команды инфраструктуры данных, поддерживающие критические конвейеры, могут получить выгоду от процесса регулярной проверки кода Aardvark, который может выявлять уязвимости на более ранних этапах жизненного цикла разработки.
Что это значит для предприятий и рынка кибербезопасности
Aardvark представляет собой выход OpenAI в область автоматизированных исследований безопасности с помощью агентного AI. Сочетая языковое понимание GPT-5 с патчами на основе Codex и валидационными песочницами, Aardvark предлагает интегрированное решение для современных команд разработчиков, сталкивающихся с растущей сложностью в области безопасности. Если Aardvark окажется эффективным в масштабе, он может способствовать переходу в том, как организации внедряют безопасность в непрерывную среду разработки.
