OpenAI a annoncé la sortie d'Aardvark, un outil de recherche en sécurité par proxy basé sur GPT-5, actuellement en version bêta privée. Aardvark analyse en continu les bases de code, construit des modèles de menaces, localise les vulnérabilités à partir des modifications soumises et évalue leur exploitabilité. Après avoir reproduit les vulnérabilités dans un environnement isolé, il utilise Codex pour générer des correctifs, qui sont ensuite soumis à une relecture humaine et intégrés, accompagnés d'explications détaillées et d'annotations de code. Le système est conçu pour les équipes de développement et de sécurité, et met l'accent sur la fourniture de suggestions de correction concrètes sans perturber les processus de développement.
D'après les informations officielles, Aardvark fonctionne en continu dans les environnements de ses premiers partenaires, internes et externes, et a identifié 92 % des vulnérabilités connues et synthétiques du référentiel « Golden Repository ». L'outil a également signalé de manière responsable plusieurs failles dans des projets open source, dont dix ont reçu un numéro CVE. OpenAI a par ailleurs annoncé qu'elle fournira des services d'analyse gratuits pour certains dépôts open source non commerciaux et mettra à jour ses politiques de coordination externe et de divulgation ; le périmètre d'accès sera progressivement étendu durant la phase de tests privés.
Foire aux questions
Q : Comment Aardvark peut-il être intégré actuellement ?
A : Il est actuellement en phase de test privée et est ouvert aux partenaires invités et à certains projets open source. Le site web officiel propose un portail de candidature.
Q : En quoi est-ce différent des outils traditionnels (tels que le fuzz/SCA) ?
A : Centrée sur l'inférence LLM et l'utilisation d'outils, elle suit un processus en plusieurs étapes « analyse - analyse de soumission - vérification en sandbox - application de correctifs », qui est plus proche de la méthodologie des chercheurs en sécurité humaine.
Q : Prend-il en charge la réparation automatique ?
R : Il sera accompagné d'un correctif généré par Codex et examiné par Aardvark, mais il devra tout de même être examiné manuellement et fusionné en un clic pour éviter les modifications non supervisées.
Q : Existe-t-il des données sur les résultats réels ?
A : La déclaration officielle fait état d'un taux de reconnaissance de 92 % dans le référentiel de référence et a facilité 10 divulgations de niveau CVE ; la reproduction externe et l'évaluation transversale sont toujours en cours.
Q : Quels sont les projets pour la communauté open source ?
A : Le plan consiste à fournir un service d'analyse gratuit pour certains dépôts open source non commerciaux et à promouvoir une collaboration durable grâce à une politique de divulgation mise à jour.
