A OpenAI apresentou o Aardvark, um agente de IA de pesquisa baseado no GPT-5 para encontrar vulnerabilidades em softwares.
Fonte da imagem: OpenAI
A OpenAI observa que dezenas de milhares de novas vulnerabilidades são descobertas em bases de código corporativas e de código aberto a cada ano. Os especialistas enfrentam a difícil tarefa de encontrar e corrigir vulnerabilidades antes que os atacantes o façam. O Aardvark representa um avanço na IA e na pesquisa de segurança. É um agente autônomo que pode ajudar desenvolvedores e equipes de segurança a detectar e corrigir vulnerabilidades de segurança em grande escala.
O Aardvark analisa continuamente repositórios de código-fonte para identificar vulnerabilidades, avaliar sua explorabilidade, determinar sua gravidade e propor correções direcionadas. Ele monitora commits e alterações em bases de código, identifica vulnerabilidades, determina como elas podem ser exploradas e propõe soluções. O Aardvark não usa métodos tradicionais de análise de programas, como fuzzing ou análise de composição de software. Em vez disso, usa raciocínio baseado em LLM e ferramentas para entender o comportamento do código e identificar vulnerabilidades. O Aardvark busca bugs da mesma forma que um pesquisador de segurança: lendo o código, analisando-o, criando e executando testes, usando ferramentas e muito mais. Aardvark utiliza um pipeline de múltiplas etapas para identificar, explicar e corrigir vulnerabilidades:
Embora o Aardvark seja projetado para segurança, a OpenAI descobriu, por meio de testes, que sua IA baseada em agentes também pode identificar erros lógicos, patches incompletos e problemas de privacidade. O Aardvark tem trabalhado continuamente com as bases de código internas e externas da OpenAI há vários meses.parceiros externos. Na OpenAI, ele identificou vulnerabilidades graves e contribuiu para aprimorar a segurança de software. Em testes de benchmark em repositórios “de ouro”, o Aardvark identificou 92% das vulnerabilidades conhecidas e criadas artificialmente, demonstrando alta abrangência e eficácia em condições reais.
O Aardvark também foi aplicado a projetos de código aberto, onde descobriu inúmeras vulnerabilidades, dez das quais receberam identificadores CVE (Common Vulnerabilities and Exposures). A OpenAI observa que planeja oferecer varredura gratuita de repositórios de código aberto não comerciais selecionados para contribuir com a segurança do ecossistema e da cadeia de suprimentos de software de código aberto. A empresa atualizou recentemente sua política de divulgação coordenada, que se concentra em desenvolvedores, colaboração e impacto escalável, em vez de prazos rígidos de divulgação que podem pressionar os desenvolvedores.
O Aardvark está atualmente disponível em versão beta fechada para testes e aprimoramento de suas capacidades em condições reais. A OpenAI convida parceiros selecionados a participar para obter acesso antecipado e trabalhar diretamente com a equipe da OpenAI para melhorar a precisão da detecção, os fluxos de trabalho de validação e a qualidade dos relatórios.