OpenAI представила ИИ-агента Aardvark для поиска и устранения уязвимостей в ПО

Компания OpenAI представила Aardvark — исследовательского ИИ-агента на базе GPT‑5 для поиска уязвимостей в программном обеспечении.

Источник изображений: OpenAI

OpenAI отмечает, что каждый год в корпоративных и открытых кодовых базах обнаруживаются десятки тысяч новых уязвимостей. Эксперты сталкиваются с непростой задачей поиска и устранения уязвимостей раньше, чем это сделают злоумышленники. Aardvark представляет собой прорыв в исследованиях ИИ и безопасности. Это автономный агент, который может помочь разработчикам и командам безопасности обнаруживать и устранять уязвимости безопасности в больших масштабах.

Aardvark постоянно анализирует репозитории исходного кода для выявления уязвимостей, оценки возможности их эксплуатации, определения степени серьёзности и предложения целевых исправлений. Он отслеживает коммиты и изменения в кодовых базах, выявляет уязвимости, определяет, как они могут быть использованы, и предлагает решения. Aardvark не использует традиционные методы анализа программ, такие как фаззинг или анализ композиции программного обеспечения. Вместо этого он использует рассуждения на основе LLM, а также инструменты для понимания поведения кода и выявления уязвимостей. Aardvark ищет ошибки так же, как это делает исследователь безопасности: читая код, анализируя его, создавая и запуская тесты, используя инструменты и многое другое.

Aardvark использует многоступенчатый конвейер для выявления, объяснения и устранения уязвимостей:

• Анализ : Aardvark начинает с анализа всего репозитория для создания модели угроз, отражающей понимание целей безопасности и архитектуры проекта.
• Сканирование коммитов : Aardvark сканирует уязвимости, проверяя изменения на уровне коммитов во всем репозитории и модели угроз по мере добавления нового кода. При первом подключении к репозиторию Aardvark сканирует его историю для выявления существующих проблем. Aardvark пошагово объясняет обнаруженные уязвимости, аннотируя код для проверки человеком.
• Валидация : После того, как Aardvark обнаружил потенциальную уязвимость, он попытается запустить её в изолированной среде, чтобы подтвердить возможность её эксплуатации. Aardvark описывает шаги, предпринимаемые для обеспечения точной, высококачественной и малой доли ложноположительных результатов.

• Установка исправлений: Aardvark интегрируется с OpenAI Codex для исправления обнаруженных уязвимостей. К каждой находке он прикрепляет сгенерированный Codex и отсканированный Aardvark патч для проверки человеком и эффективного применения исправлений одним щелчком мыши.

Хотя Aardvark создан для обеспечения безопасности, OpenAI в ходе тестирования обнаружила, что агентный ИИ также может выявлять выявлять логические ошибки, неполные исправления и проблемы с конфиденциальностью. Aardvark уже несколько месяцев непрерывно работает с внутренними кодовыми базами OpenAI и кодовыми базами внешних партнёров. В OpenAI он выявил серьёзные уязвимости и внёс вклад в повышение безопасности ПО. В ходе бенчмарк-тестирования на «золотых» репозиториях Aardvark выявил 92 % известных и искусственно созданных уязвимостей, продемонстрировав высокую полноту и эффективность в реальных условиях.

Aardvark также применялся к проектам с открытым исходным кодом, где он обнаружил многочисленные уязвимости, десяти из которых были присвоены идентификаторы Common Vulnerabilities and Exposures (CVE). OpenAI отмечает, что собирается предлагать бесплатное сканирование избранных некоммерческих репозиториев с открытым исходным кодом, чтобы внести свой вклад в безопасность экосистемы программного обеспечения с открытым исходным кодом и цепочки поставок. Недавно компания обновила свою политику скоординированного раскрытия информации, которая ориентирована на разработчиков, сотрудничество и масштабируемость воздействия, а не на жёсткие сроки раскрытия информации, которые могут оказывать давление на разработчиков.

Сейчас Aardvark доступен в закрытой бета-версии для проверки и улучшения своих возможностей в реальных условиях. OpenAI приглашает избранных партнёров присоединиться для получения раннего доступа и совместной работе напрямую с командой OpenAI над улучшением точности обнаружения, рабочих процессов валидации и качества отчётности.