OpenAI宣布推出Aardvark,这是一款由GPT-5驱动的“代理型安全研究员”,现已开启私测。Aardvark可持续分析代码库、建立威胁模型,按提交变更定位漏洞并评估可利用性;在沙箱中复现实验后,调用Codex生成修复补丁,连同分步解释与代码标注提交给人工复核与合并。系统面向开发与安全团队,强调在不打断研发节奏的前提下提供可执行的修复建议。
官方披露,Aardvark已在内部与外部早期伙伴环境持续运行,并在“黄金仓库”基准中识别出92%的已知与合成漏洞;在开源项目中已负责任披露多处问题,其中十项获得CVE编号。OpenAI同步表示将为部分非商业开源仓库提供公益扫描,并更新对外协调披露政策;私测阶段将逐步扩大接入范围。
常见问题
Q:Aardvark当前可如何接入?
A:处于私测阶段,面向受邀伙伴与部分开源项目开放,官网提供申请入口。
Q:它与传统工具(如fuzz/SCA)有何不同?
A:以LLM推理与工具调用为核心,按“分析—提交扫描—沙箱验证—补丁”多阶段流程工作,更贴近人工安全研究员的方法论。
Q:是否支持自动修复?
A:会附带Codex生成并经Aardvark复核的补丁,仍需人工审核与一键合并,避免无监督改动。
Q:实际效果有数据吗?
A:官方称在基准仓库中达到92%识别率,并已促成10个CVE级披露;外部复现与横向评测仍在跟进。
Q:对开源社区有什么安排?
A:计划为部分非商业开源仓库提供公益扫描,并以更新后的披露政策推进可持续协作。
