Com este lançamento, a OpenAI entra no crescente mercado de segurança de IA, onde competirá com o CodeMender do Google e outras plataformas. Agindo como um pesquisador de segurança humana, sua nova ferramenta Aardvark encontra, testa e ajuda a corrigir falhas no código de software.
A OpenAI anunciou o agente com tecnologia GPT-5 na quinta-feira, disponibilizando-o em uma versão beta privada. Sua estreia esquenta a corrida para automatizar a defesa cibernética e dar aos defensores uma vantagem crítica contra ameaças crescentes.
Uma abordagem semelhante à humana para encontrar falhas
Desenvolvido pelo tão aguardado modelo GPT-5 da empresa, o Aardvark foi projetado para funcionar como um “pesquisador de segurança agente.” Ele analisa continuamente repositórios de código-fonte para identificar vulnerabilidades, avaliar sua capacidade de exploração e propor patches direcionados para os desenvolvedores revisarem.
Isso representa um avanço na aplicação de IA a um domínio que há muito é manual e demorado. esforço.
Ao contrário das ferramentas de segurança tradicionais que dependem de técnicas de força bruta, como fuzzing ou análise simples de composição de software, o Aardvark usa raciocínio baseado em LLM para entender o comportamento e a intenção do código.
O vice-presidente da OpenAI, Matt Knight, explicou a abordagem, afirmando: “De alguma forma, ele procura bugs da mesma forma que um pesquisador de segurança humano faria”.
Isso envolve ler e analisar código, escrever e executar testes e usar outras ferramentas para investigar. em busca de pontos fracos, permitindo descobrir vulnerabilidades complexas e de várias etapas que os scanners automatizados muitas vezes não percebem.
Operando em um pipeline sofisticado e de vários estágios, o agente começa analisando um repositório inteiro para criar um modelo de ameaça abrangente, entendendo as metas e a arquitetura de segurança específicas do projeto. A partir daí, ele verifica novos commits de código em tempo real em relação a esse modelo para detectar possíveis problemas à medida que são introduzidos.
Quando uma vulnerabilidade é encontrada, o Aardvark tenta acioná-la em um ambiente de sandbox isolado para confirmar que é uma ameaça real e explorável, reduzindo efetivamente os falsos positivos.
Finalmente, ele se integra ao OpenAI Codex, o agente de codificação de IA da OpenAI, para gerar um patch sugerido, que é anexado à descoberta com anotações detalhadas para humanos. revisão e implementação com um clique.
Seu objetivo é fornecer insights claros e práticos sem retardar os ciclos de desenvolvimento. “Nossos desenvolvedores encontraram valor real na clareza com que ele explicou os problemas e os orientou para as correções”, disse Knight ao ZDNet. “Esse sinal nos disse que estávamos no caminho para algo significativo.”
A nova corrida armamentista na defesa cibernética alimentada por IA
Entrando em um mercado que já está esquentando com anúncios recentes de concorrentes, o Aardvark da OpenAI é o mais recente participante em uma nova corrida armamentista para automatizar a segurança cibernética.
O lançamento da OpenAI segue o lançamento do CodeMender pelo Google no início de outubro, um agente autônomo projetado para corrigir vulnerabilidades usando seus modelos Gemini.
A própria ferramenta do Google é uma evolução de sua IA anterior ‘Big Sleep’, que ganhou as manchetes em julho por neutralizar proativamente uma ameaça crítica no SQLite antes que ela pudesse ser explorada, comprovando o conceito de defesa orientada por IA.
Estendendo-se além dos gigantes da tecnologia, essa tendência inclui empresas de segurança cibernética estabelecidas. Ainda esta semana, a Palo Alto Networks lançou o Cortex AgentiX, uma plataforma para criar e gerenciar uma força de trabalho de agentes de segurança de IA projetada para automatizar a investigação e a resposta.
Seu CEO, Nikesh Arora, destacou o problema central que essas ferramentas pretendem resolver, observando que “todo o ato de investigação [e] remediação é fundamentalmente extremamente manual na indústria”. ataques. Essas plataformas ativas representam uma mudança fundamental da defesa reativa para a proativa, com o objetivo de fechar o intervalo de tempo crítico entre a descoberta e a correção da vulnerabilidade.
Beta privado e um compromisso com o código aberto
O Aardvark agora está disponível para parceiros selecionados por meio de um beta privado somente para convidados. As organizações interessadas em participar devem usar o GitHub Cloud para seus repositórios, comprometer-se a fornecer feedback regular para refinar as capacidades do agente e concordar com os termos de serviço da OpenAI.
A OpenAI visa validar o desempenho e a precisão do agente em uma variedade de ambientes do mundo real antes de considerar um lançamento mais amplo.
Além de suas ambições comerciais, a OpenAI está posicionando o Aardvark como uma ferramenta para fortalecer todo o ecossistema digital, enfrentando um problema de imensa escala. Com mais de 40.000 CVEs relatados somente em 2024, as vulnerabilidades de software representam um risco sistêmico.
O agente já foi usado para proteger projetos de código aberto, onde descobriu e ajudou a divulgar de forma responsável inúmeras vulnerabilidades.
De acordo com a OpenAI, seus esforços já resultaram em dez descobertas que receberam identificadores oficiais de Vulnerabilidades e Exposições Comuns (CVE), uma contribuição significativa para o público segurança.
Esse trabalho é governado pela política de divulgação coordenada de saída atualizada da empresa, que enfatiza uma abordagem colaborativa e amigável ao desenvolvedor em vez dos rígidos cronogramas de divulgação que podem pressionar equipes com poucos recursos.
De acordo com esse compromisso, a OpenAI também planeja oferecer digitalização gratuita para selecione repositórios de código aberto não comerciais, contribuindo para a segurança da cadeia de fornecimento de software que sustenta grande parte da Internet moderna.
Marcando um marco significativo, esta nova geração de ferramentas de segurança alimentadas por IA está preparada para remodelar a indústria. Como observou Matt Knight:”Esta é uma área e uma capacidade que estavam fora de alcance até muito recentemente. Mas novas inovações a desbloquearam.”
Para desenvolvedores e profissionais de segurança, a chegada de parceiros autônomos como a Aardvark pode finalmente fazer pender a balança na longa batalha contra ameaças cibernéticas.
