Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

OpenAI представила ИИ-агента Aardvark для поиска и устранения уязвимостей в ПО

Компания OpenAI представила Aardvark — исследовательского ИИ-агента на базе GPT‑5 для поиска уязвимостей в программном обеспечении.

 Источник изображений: OpenAI

Источник изображений: OpenAI

OpenAI отмечает, что каждый год в корпоративных и открытых кодовых базах обнаруживаются десятки тысяч новых уязвимостей. Эксперты сталкиваются с непростой задачей поиска и устранения уязвимостей раньше, чем это сделают злоумышленники. Aardvark представляет собой прорыв в исследованиях ИИ и безопасности. Это автономный агент, который может помочь разработчикам и командам безопасности обнаруживать и устранять уязвимости безопасности в больших масштабах.

Aardvark постоянно анализирует репозитории исходного кода для выявления уязвимостей, оценки возможности их эксплуатации, определения степени серьёзности и предложения целевых исправлений. Он отслеживает коммиты и изменения в кодовых базах, выявляет уязвимости, определяет, как они могут быть использованы, и предлагает решения. Aardvark не использует традиционные методы анализа программ, такие как фаззинг или анализ композиции программного обеспечения. Вместо этого он использует рассуждения на основе LLM, а также инструменты для понимания поведения кода и выявления уязвимостей. Aardvark ищет ошибки так же, как это делает исследователь безопасности: читая код, анализируя его, создавая и запуская тесты, используя инструменты и многое другое.

Aardvark использует многоступенчатый конвейер для выявления, объяснения и устранения уязвимостей:

  • Анализ : Aardvark начинает с анализа всего репозитория для создания модели угроз, отражающей понимание целей безопасности и архитектуры проекта.
  • Сканирование коммитов : Aardvark сканирует уязвимости, проверяя изменения на уровне коммитов во всем репозитории и модели угроз по мере добавления нового кода. При первом подключении к репозиторию Aardvark сканирует его историю для выявления существующих проблем. Aardvark пошагово объясняет обнаруженные уязвимости, аннотируя код для проверки человеком.
  • Валидация : После того, как Aardvark обнаружил потенциальную уязвимость, он попытается запустить её в изолированной среде, чтобы подтвердить возможность её эксплуатации. Aardvark описывает шаги, предпринимаемые для обеспечения точной, высококачественной и малой доли ложноположительных результатов.
  • Установка исправлений: Aardvark интегрируется с OpenAI Codex для исправления обнаруженных уязвимостей. К каждой находке он прикрепляет сгенерированный Codex и отсканированный Aardvark патч для проверки человеком и эффективного применения исправлений одним щелчком мыши.

Хотя Aardvark создан для обеспечения безопасности, OpenAI в ходе тестирования обнаружила, что агентный ИИ также может выявлять выявлять логические ошибки, неполные исправления и проблемы с конфиденциальностью. Aardvark уже несколько месяцев непрерывно работает с внутренними кодовыми базами OpenAI и кодовыми базами внешних партнёров. В OpenAI он выявил серьёзные уязвимости и внёс вклад в повышение безопасности ПО. В ходе бенчмарк-тестирования на «золотых» репозиториях Aardvark выявил 92 % известных и искусственно созданных уязвимостей, продемонстрировав высокую полноту и эффективность в реальных условиях.

Aardvark также применялся к проектам с открытым исходным кодом, где он обнаружил многочисленные уязвимости, десяти из которых были присвоены идентификаторы Common Vulnerabilities and Exposures (CVE). OpenAI отмечает, что собирается предлагать бесплатное сканирование избранных некоммерческих репозиториев с открытым исходным кодом, чтобы внести свой вклад в безопасность экосистемы программного обеспечения с открытым исходным кодом и цепочки поставок. Недавно компания обновила свою политику скоординированного раскрытия информации, которая ориентирована на разработчиков, сотрудничество и масштабируемость воздействия, а не на жёсткие сроки раскрытия информации, которые могут оказывать давление на разработчиков.

Сейчас Aardvark доступен в закрытой бета-версии для проверки и улучшения своих возможностей в реальных условиях. OpenAI приглашает избранных партнёров присоединиться для получения раннего доступа и совместной работе напрямую с командой OpenAI над улучшением точности обнаружения, рабочих процессов валидации и качества отчётности.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Аналитики: ещё до релиза Assassin’s Creed Black Flag Resynced обогнала Skull and Bones по продажам в Steam 7 ч.
Steam Machine сможет полноценно работать с Windows — Valve опубликовала официальные драйверы 9 ч.
Поиск Google поможет сайтам и блогерам лучше понять свою аудиторию 9 ч.
Создатели Hitman и 007 First Light закроют офис в Стамбуле на благо онлайновой ролевой игры Project Fantasy 10 ч.
State of Decay 3 сможет обойти стороной Game Pass, несмотря на финансирование от Xbox 11 ч.
Google разрешила себе обучать ИИ на файлах пользователей из поисковых запросов, но от этого можно отказаться 11 ч.
Meta грозят штрафы на $1,5 трлн по делам о зависимости детей от Instagram и Facebook 12 ч.
Google подготовила радикальный дизайн «Переводчика» 12 ч.
Windows 11 начала «съедать» до 500 Гбайт на диске — Microsoft признала баг 12 ч.
«Спрашиваю для друга»: сооснователь Arkane поинтересовался у гендиректора Xbox, сколько стоит выкупить студию 14 ч.
Новая статья: Сравнительный тест камер флагманских смартфонов (2026) 4 ч.
Китайская DeepSeek скрытно занимается разработкой собственного ИИ-ускорителя для инференса 4 ч.
Анонсированы умные очки Solos AirGo A6 — без камеры, но с ИИ 7 ч.
Apple захватила 90 % рынка смарт-часов с ИИ, который за год вырос на 70 % 9 ч.
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А 9 ч.
Marshall представила беспроводные колонки Acton IV и Stanmore IV с улучшенными басами и повышенной ремонтопригодностью 9 ч.
Huawei впервые бросит вызов Nvidia за пределами Китая — ИИ-ускорители Ascend появятся в Южной Корее 9 ч.
Российские власти не будут вводить плату за иностранный трафик 10 ч.
«Совкомбанк»: в 2026 году капитальные затраты на новые ЦОД в России сократятся на треть 10 ч.
Anthropic готова потратить миллиарды долларов на ЦОД в Австралии, но взамен требует переписать законы об интеллектуальной собственности 11 ч.