OpenAI推出AI安全Agent: Aardvark,自动帮你找bug
今日,OpenAI 宣布推出 Aardvark,一款基于 GPT‑5 的“代理式安全研究员”智能体,目前已开放给部分合作伙伴进入内测。
Aardvark 的主要目标是帮助开发团队和安全工程师以规模化、连续化的方式发现并修补软件漏洞。考虑到每年成千上万的新漏洞出现在企业和开源代码库中,防守方面临极大压力。OpenAI 表示,Aardvark 旨在“倾斜这场攻防的天平”,让防守方拥有更强工具。
核心功能
仓库全量分析:Aardvark 首先分析整个代码库,生成威胁模型(threat model),理解项目的安全目标与设计。
提交级扫描:当新的 commit 被推入,Aardvark 会对比已建模型,扫描漏洞;首次接入时,也会追溯历史提交。
验证机制:检测到的漏洞会被送入沙箱执行验证,以确认是否真的可被利用,从而降低误报。
补丁提议:通过集成 OpenAI Codex,Aardvark 可自动生成修补方案,并以 Pull Request 形式提交供人类审查。
兼容开发流程:可无缝对接 GitHub 、开发管道、现有工作流,旨在“安全增强”而非拖慢开发速度。
实际效果
在内部基准测试中,Aardvark 在“金标准”仓库上识别了约 92% 的已知及人工注入漏洞,效果显著。
在开源项目中,Aardvark 已发现数个漏洞,同时披露多项 CVE 编码。
意义与背景
随着软件成为各行业基础设施,漏洞也构成系统性风险。2024 年即报告有超过 40,000 项 CVE。
Aardvark 的出现,标志着一种“防守优先”的 AI 模式:从被动扫描转为持续监控+自动修补。其设计理念是,安全工具必须像开发工具一样,嵌入日常开发、不断自我运行。
目前,Aardvark 处于早期内测阶段,OpenAI 邀请有兴趣的组织或开源项目申请参与。未来,OpenAI 还计划为部分非商业开源仓库提供免费扫描服务,以贡献软件供应链的安全。
Aardvark 不只是一个新产品,而是 OpenAI 向“专业安全市场”迈出的关键一步。若其表现如宣传所言,它可能改变安全团队的工作方式:从人力主导走向 AI 辅助、从事后响应走向实时监控。安全工具的“革命”或许正在发生。