OpenAI近日推出了名为Aardvark的自主安全研究智能体,该智能体由GPT-5驱动,旨在自动发现并修复软件代码中的安全漏洞。
目前,Aardvark处于beta测试阶段。OpenAI将其定位为一种“防御者优先”的新范式,能够随代码库的演化为开发团队提供持续的保护。
根据OpenAI披露的数据,在标准代码库的基准测试中,Aardvark对已知漏洞与人工植入漏洞的识别率达到了92%。它通过早期漏洞捕捉、利用验证及提供清晰的修复方案,旨在强化安全体系的同时,不拖慢开发创新的节奏。
Aardvark的名字来源于夜行性的非洲食蚁兽,其独居并以蚂蚁和白蚁为食的特性,被巧妙地类比为该智能体异步、独立地“吞噬”程序漏洞(Bug)的工作方式。
Aardvark的工作原理
Aardvark通过持续监控源代码仓库的提交与变更来工作。其核心是利用大语言模型的推理能力和工具调用功能,深入理解代码行为并定位漏洞,而非依赖传统的模糊测试或软件成分分析技术。
其工作流程分为四个主要阶段:
- 分析阶段:对完整代码库进行全面分析,生成反映项目安全目标与架构设计的威胁模型。
- 提交扫描:实时比对代码变更与威胁模型,检测新增漏洞。首次接入仓库时,会扫描历史记录以识别现存问题,并提供带标注的代码解析。
- 验证阶段:在隔离的沙箱环境中尝试触发潜在漏洞,以确认其真实可利用性,从而确保分析结果的低误报率。
- 修复阶段:与OpenAI Codex协同,为已验证的漏洞生成修复补丁。这些补丁附在检测报告中,供开发人员审核后一键应用。
AI作为生产力放大器
这一应用场景被业界认为极具潜力。寻找漏洞需要系统性的推理和上下文理解,这正是先进推理模型的强项。AI能够思考远超人类数量的边缘情况,从而发现容易被遗漏的漏洞。
Aardvark被设计为与开发者协作的工具。它无缝集成到GitHub等现有工作流中,并在关键环节设置了人工审核步骤。安全工程师的角色并未被取代,而是转变为最终的质量把关者。这使其成为一种生产力放大器,而非替代品。
此前,已有研究探索AI自动化漏洞处理流程。例如,有安全研究人员搭建的系统能够自动分析CVE通告、生成测试应用与利用代码,并进行验证,实现了对每日上百条CVE信息的高效处理。
安全智能体的崛起背景
软件漏洞已成为系统性风险。据统计,仅2024年公开的通用漏洞披露(CVE)数量就超过4万例,年增长率高达38%。同时,高危的“零日漏洞”在黑市上的价格持续飙升。
传统漏洞发现手段(如模糊测试)费时费力,而AI在代码理解与推理上的突破,正使其成为应对海量漏洞挑战的关键力量。Aardvark的重要性体现在:
- 弥补人力缺口:普通企业难以雇佣足够的安全专家。
- 应对漏洞洪流:每年有数万新漏洞被公开。
- 提供持续防护:能够7×24小时不间断地“巡逻”代码库。
- 拓展检测范围:不仅能发现安全漏洞,还能识别逻辑错误或隐私风险。
Aardvark已在OpenAI内部及外部alpha合作伙伴中运行数月,成功发现了多个有实际意义的安全漏洞,并因其能识别复杂条件下的隐蔽问题而受到好评。
与此同时,谷歌DeepMind也于本月初发布了基于Gemini模型的AI智能体CodeMender,它能够自主调试并修复复杂漏洞,在修改前后进行深入推理与验证。
AI驱动的安全智能体,正在彻底改变网络安全的竞争格局。
参考资料:
https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/
https://substack.com/home/post/p-170458299
https://x.com/imxiaohu/status/1984061183301972339
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:http://www.itsolotime.com/archives/13755
