通過此次發布,OpenAI 進入了不斷增長的人工智能安全市場,它將與 Google 的 CodeMender 和其他平台展開競爭。其新的 Aardvark 工具就像人類安全研究人員一樣,可以發現、測試並幫助修復軟件代碼中的缺陷。
OpenAI 於週四宣布推出 GPT-5 支持的代理,並以私人測試版形式提供。它的首次亮相加劇了自動化網絡防禦的競爭,並為防御者提供了應對日益增長的威脅的關鍵優勢。
以類人的方式尋找缺陷
Aardvark 由公司備受期待的 GPT-5 模型提供支持,旨在充當“代理安全” “它不斷分析源代碼存儲庫,以識別漏洞,評估其可利用性,並提出有針對性的補丁供開發人員審查。
它代表著將人工智能應用於長期以來需要手動、耗時的工作的領域的突破。
與依賴於人工的傳統安全工具不同在模糊測試或簡單軟件組合分析等強力技術上,Aardvark 使用 LLM 驅動的推理來理解代碼行為和意圖。
OpenAI 副總裁 Matt Knight 解釋了該方法,並表示:“在某種程度上,它以與人類安全研究人員非常相似的方式查找錯誤。 “
這涉及閱讀和分析代碼、編寫和運行測試以及使用其他工具來探測弱點,從而使其能夠發現複雜的多步驟自動掃描器經常遺漏的漏洞。
代理在復雜的多級管道上運行,首先分析整個存儲庫以創建全面的威脅模型,了解項目的特定安全目標和架構。從那裡,它會針對該模型實時掃描新代碼提交,以發現引入的潛在問題。
當發現漏洞時,Aardvark 會嘗試在隔離的沙箱環境中觸發它,以確認它是真實的、可利用的威脅,從而有效減少誤報。
最後,它與 OpenAI Codex(OpenAI 的 AI 編碼代理)集成,以生成建議的補丁,該補丁將附加到發現結果中,並附有詳細的註釋,以供人工審核和使用。一鍵實施。
其目標是在不減慢開發週期的情況下提供清晰、可操作的見解。 Knight 告訴 ZDNet:“我們的開發人員發現它能夠清晰地解釋問題並指導他們進行修復,這具有真正的價值。 ” “這個信號告訴我們,我們正在走向有意義的道路。 “
人工智能驅動的網絡防禦的新軍備競賽
OpenAI 的 Aardvark 進入了一個因競爭對手最近發布的公告而已經升溫的市場,它是自動化網絡安全新軍備競賽的最新參與者。
在 Google 於 10 月初推出 CodeMender 後,OpenAI 的推出是一個旨在修補漏洞的自主代理。使用其 Gemini 模型。
Google 的工具本身是其早期“Big Sleep”人工智能的演變,該人工智能在 7 月份因在 SQLite 被利用之前主動消除其關鍵威脅而成為頭條新聞,證明了人工智能驅動的防禦概念。
這一趨勢不僅限於科技巨頭,還包括成熟的網絡安全公司。就在本週,Palo Alto Networks 推出了 Cortex AgentiX,這是一個用於構建和管理 AI 安全代理團隊的平台,旨在實現自動調查和響應。
其首席執行官 Nikesh Arora 強調了這些工具旨在解決的核心問題,並指出“整個調查[和]補救行為在行業中基本上都是極其手動的。 “
整個行業的共識很明確:手動安全操作無法再跟上自動化的速度和規模。攻擊。這些代理平台代表了從被動防禦到主動防禦的根本轉變,旨在縮小漏洞發現和修復之間的關鍵時間差距。
私人測試版和對開源的承諾
Aardvark 現在通過僅限邀請的私人測試版向精選合作夥伴開放。有興趣參與的組織必須使用 GitHub Cloud 作為其存儲庫,承諾提供定期反饋以完善代理的功能,並同意 OpenAI 的服務條款。
OpenAI 的目標是在考慮更廣泛的發布之前,在各種現實環境中驗證代理的性能和準確性。
除了其商業目標之外,OpenAI 還將 Aardvark 定位為加強整個數字生態系統的工具,解決大規模問題。僅 2024 年就報告了超過 40,000 個 CVE,軟件漏洞構成了系統性風險。
該代理已被用於保護開源項目,它發現並幫助負責任地披露了眾多漏洞。
據 OpenAI 稱,其工作已導致 10 項調查結果獲得官方通用漏洞和暴露 (CVE) 標識符,這對公共安全做出了重大貢獻。
管理這項工作的是公司更新的對外協調披露政策,該政策強調在嚴格的披露時間表上採用對開發人員友好的協作方法,這可能會給資源不足的團隊帶來壓力。
根據這一承諾,OpenAI 還計劃提供無償掃描以選擇非商業開源項目存儲庫,為支撐現代互聯網大部分內容的軟件供應鏈的安全做出貢獻。
新一代人工智能驅動的安全工具標誌著一個重要的里程碑,即將重塑行業。正如馬特·奈特 (Matt Knight) 指出的那樣,“直到最近,這是一個遙不可及的領域和能力。但新的創新已經解鎖了它。 “
對於開發人員和安全專業人士來說,像 Aardvark 這樣的自主合作夥伴的到來最終可能會在對抗網絡威脅的長期鬥爭中打破平衡。
