OpenAI представила ИИ-агента Aardvark для автономной защиты кода от уязвимостей

Компания OpenAI представила автономного агента искусственного интеллекта Aardvark, созданного для защиты критически важного исходного кода от киберугроз. Этот новый агент, работающий на основе модели GPT-5, способен самостоятельно обнаруживать, проверять и исправлять уязвимости в программном обеспечении. Его появление может коренным образом изменить подходы команд безопасности к защите программных продуктов.

Проблема безопасности программного обеспечения остаётся одной из самых сложных в технологической индустрии, поскольку ежегодно обнаруживаются десятки тысяч новых уязвимостей. Разработчики Aardvark заявили, что создали его для того, чтобы «склонить баланс в пользу защитников», обеспечив более быструю диагностику и ремонт, чем это могут сделать одни только люди-исследователи.

Aardvark описан как «агент-исследователь безопасности», который использует логические рассуждения большой языковой модели и применение инструментов, вместо традиционных методов, таких как фаззинг или статический анализ. Искусственный интеллект читает и интерпретирует код подобно человеку, выявляя риски, тестируя возможности эксплуатации и создавая исправления в реальном времени. В OpenAI заявили, что Aardvark представляет собой прорыв в области исследований ИИ и безопасности, поскольку это автономный агент, способный помогать разработчикам и командам безопасности обнаруживать и устранять уязвимости в масштабе.

Система работает по принципу непрерывного мониторинга репозиториев с исходным кодом, анализируя коммиты, сканируя на наличие уязвимостей и определяя приоритеты среди них. Затем он проверяет потенциальные недостатки в безопасной, изолированной среде, чтобы подтвердить возможность их реальной эксплуатации. После проверки Aardvark автоматически предлагает исправления через OpenAI Codex, прикрепляя готовые к проверке патчи для разработчиков. При этом окончательное решение всегда остаётся за людьми, которые проверяют и утверждают каждое изменение.

По данным компании, во внутреннем использовании Aardvark уже помог выявить и устранить серьёзные уязвимости в собственных системах OpenAI и у ограниченного круга партнёров. В ходе тестирования искусственный интеллект продемонстрировал высокую эффективность, идентифицировав 92% как известных уязвимостей, так и уязвимостей, искусственно внедрённых в ходе эксперимента.

Кроме того, Aardvark был задействован для анализа проектов с открытым исходным кодом, где ответственно раскрыл несколько уязвимостей, десять из которых уже получили идентификаторы CVE. OpenAI планирует предлагать бесплатное сканирование для избранных некоммерческих репозиториев, чтобы помочь защитить экосистему открытого кода, отмечая приверженность поддержке сообщества и готовность вносить вклад в общее дело.

Запуск Aardvark происходит в ключевой момент: только в 2024 году было зарегистрировано более 40 000 уязвимостей. Компания описывает свою разработку как «новую модель, ориентированную на защитника», призванную защищать постоянно развивающийся исходный код, не замедляя при этом процесс инноваций. Ожидается, что, находя уязвимости на ранних стадиях и предлагая точные исправления, Aardvark сможет перевести кибербезопасность от реактивной защиты к непрерывному и проактивному подходу.

На текущий момент система доступна в виде закрытой беты, и OpenAI приглашает организации протестировать её производительность в различных средах, чтобы совместно доработать точность и систему отчётности.