Aardvark

2025 年 10 月 30 号，OpenAI 推出了一款由 GPT-5 驱动的代理式安全研究工具 —— Aardvark。它旨在帮助开发者和安全团队大规模地发现并修复软件中的安全漏洞，从而在网络安全攻防战中为防御方提供优势。 Aardvark 是一款自主运行的 AI 代理，它能够像人类安全专家一样，通过分析代码、理解其行为并利用工具来主动发现和修复漏洞。它的核心目标是改变当前软件安全领域的格局，将天平向防御方倾斜。通过自动化漏洞的发现、验证和修复流程，Aardvark 能够帮助团队在不拖慢开发速度的前提下，持续提升代码的安全性。目前，该产品已进入私有测试阶段。 关键细节 工作原理与流程 Aardvark 的工作流程分为四个主要阶段，不依赖于模糊测试等传统技术，而是利用大语言模型的推理能力： 分析 (Analysis): 首先，Aardvark 会分析整个代码仓库，生成一个威胁模型，以理解项目的安全目标和设计。 提交扫描 (Commit scanning): 当有新的代码提交时，它会根据威胁模型检查代码变更，以发现潜在漏洞。它会用易于理解的方式逐步解释漏洞，并对代码进行注释。 验证 (Validation): 在发现潜在漏洞后，Aardvark 会在一个隔离的沙盒环境中尝试触发该漏洞，以确认其可利用性，从而确保提供给用户的洞察是准确且低误报的。 修补 (Patching): Aardvark 与 OpenAI Codex 集成，为发现的每个漏洞生成建议的修复补丁，供开发人员审查和一键应用。 实际影响与表现 内部应用与测试: Aardvark 已在 OpenAI 内部代码库和外部合作伙伴中运行数月，成功发现了多个重要漏洞。 基准测试: 在包含已知和人为引入漏洞的“黄金”代码库测试中，Aardvark 成功识别了 92% 的漏洞，展示了其高效性和实用性。 解决的问题: 软件漏洞已成为系统性风险，仅 2024 年就报告了超过 40,000 个 CVE。测试表明，约 1.2% 的代码提交会引入新的错误。 对开源社区的贡献 Aardvark 已被应用于开源项目，并成功发现了多个漏洞，其中 10 个已获得 CVE (通用漏洞披露) 编号。 OpenAI 承诺回馈开源社区，计划为部分非商业开源项目提供免费扫描服务。 公司还更新了其对外协调披露政策，采取了对开发者更友好的协作方式。 当前状态 Aardvark 目前已开放私有测试版，OpenAI 邀请感兴趣的组织或开源项目申请加入，以帮助团队进一步优化其性能和用户体验。...