OpenAI 正式發佈由 GPT-5 驅動的 AI 安全代理 Aardvark(代號「土豚」)。該系統被定義為「代理型安全研究員」,旨在幫助開發者和安全團隊在大規模代碼庫中自動發現並修復安全漏洞。
與依賴模糊測試或軟件成分分析等傳統技術不同,Aardvark 基於大語言模型的推理能力,通過閱讀代碼、分析行為、編寫測試並進行驗證,模擬人類安全研究員的工作模式。該系統能夠識別 92% 的已知與人工注入漏洞,並可定位僅在複雜條件下出現的問題。
Aardvark 建立了完整的安全工作流,包括以下幾個步驟:
| 步驟 | 描述 |
|---|---|
| 威脅建模 | 全面分析代碼庫,生成反映項目安全目標的威脅模型。 |
| 提交掃描 | 監控代碼變更,結合威脅模型進行差異分析。 |
| 沙盒驗證 | 在隔離環境中觸發潛在漏洞,確認可利用性。 |
| 智能修復 | 深度集成 Codex,自動生成修復補丁。 |
| 人工複審 | 提供清晰的漏洞解釋和代碼標註,支持一鍵審閱。 |
OpenAI 副總裁 Matt Knight 表示:「開發者的反饋顯示,Aardvark 在清晰解釋問題並引導修復方面確實提供了價值,這證實了我們技術路線的正確性。」目前,Aardvark 在內測中表現出色,已發現多個開源項目中的安全漏洞,其中 10 個已獲得 CVE 編號。OpenAI 計劃為部分非商業開源倉庫提供公益掃描服務,以提升整個開源生態的安全性。
