OpenAI hat die Veröffentlichung von Aardvark bekannt gegeben, einem GPT-5-basierten Tool zur Unterstützung der Sicherheitsforschung. Aardvark befindet sich derzeit in der privaten Beta-Phase. Es analysiert kontinuierlich Quellcode, erstellt Bedrohungsmodelle, lokalisiert Schwachstellen anhand eingereichter Änderungen und bewertet deren Ausnutzbarkeit. Nach der Reproduktion der Schwachstellen in einer Sandbox generiert Aardvark mithilfe von Codex Korrekturen, die anschließend zur Überprüfung und Zusammenführung durch Experten eingereicht werden. Diese werden zusammen mit detaillierten Erklärungen und Code-Anmerkungen bereitgestellt. Das System richtet sich an Entwicklungs- und Sicherheitsteams und legt Wert darauf, umsetzbare Lösungsvorschläge zu liefern, ohne die Entwicklungsprozesse zu beeinträchtigen.
Laut offiziellen Angaben läuft Aardvark kontinuierlich in internen und externen Partnerumgebungen und hat 92 % der bekannten und synthetischen Schwachstellen im „Golden Repository“-Benchmark identifiziert. Darüber hinaus wurden mehrere Probleme in Open-Source-Projekten verantwortungsvoll offengelegt, zehn davon mit CVE-Nummern. OpenAI kündigte außerdem an, kostenlose Scan-Dienste für ausgewählte nicht-kommerzielle Open-Source-Repositories anzubieten und seine Richtlinien zur externen Koordination und Offenlegung zu aktualisieren. Der Zugriff wird während der privaten Testphase schrittweise erweitert.
Häufig gestellte Fragen
F: Wie kann Aardvark aktuell integriert werden?
A: Es befindet sich derzeit in der internen Testphase und steht eingeladenen Partnern sowie einigen Open-Source-Projekten offen. Auf der offiziellen Website findet sich ein Bewerbungsportal.
F: Worin unterscheidet es sich von traditionellen Werkzeugen (wie Fuzz/SCA)?
A: Im Mittelpunkt stehen LLM-Inferenz und Werkzeugnutzung. Es folgt einem mehrstufigen Prozess aus „Analyse - Einreichungsscan - Sandbox-Verifizierung - Patching“, der der Methodik von Sicherheitsforschern mit menschlichem Hintergrund näher kommt.
F: Unterstützt es automatische Reparatur?
A: Es wird einen von Codex generierten und von Aardvark geprüften Patch enthalten, der jedoch noch manuell geprüft und mit einem Klick zusammengeführt werden muss, um unkontrollierte Änderungen zu vermeiden.
F: Gibt es Daten zu den tatsächlichen Ergebnissen?
A: Die offizielle Stellungnahme spricht von einer Erkennungsrate von 92 % im Benchmark-Repository und von der Möglichkeit, 10 CVE-Level-Offenlegungen zu ermöglichen; externe Reproduktion und Querschnittsbewertung sind noch im Gange.
F: Welche Pläne gibt es für die Open-Source-Community?
A: Geplant ist, kostenloses Scannen für einige nicht-kommerzielle Open-Source-Repositories anzubieten und eine nachhaltige Zusammenarbeit durch eine aktualisierte Offenlegungspolitik zu fördern.
