OpenAIは、GPT-5を搭載した「プロキシセキュリティ研究者」ツール「Aardvark」のリリースを発表しました。現在、プライベートベータ版が利用可能です。Aardvarkは、コードベースを継続的に分析し、脅威モデルを構築し、提出された変更に基づいて脆弱性を特定し、悪用可能性を評価します。サンドボックスで脆弱性を再現した後、Codexを呼び出して修正プログラムを生成し、ステップごとの説明とコードアノテーションとともに人間によるレビューとマージに提出されます。このシステムは開発チームとセキュリティチーム向けに設計されており、開発プロセスを中断することなく、実用的な修正案を提供することを重視しています。
公式発表によると、Aardvarkは社内外のアーリーパートナー環境で継続的に稼働しており、「Golden Repository」ベンチマークにおいて既知および合成脆弱性の92%を特定しました。また、オープンソースプロジェクトにおける複数の問題を責任を持って開示しており、そのうち10件にはCVE番号が付与されています。OpenAIはまた、一部の非営利オープンソースリポジトリに対して無料スキャンサービスを提供するとともに、外部との調整および開示ポリシーを更新すると発表しました。アクセス範囲は、プライベートテストフェーズ中に段階的に拡大される予定です。
よくある質問
Q: 現在、Aardvark はどのように統合できますか?
A: 現在、プライベートテスト段階にあり、招待されたパートナーや一部のオープンソースプロジェクトに公開されています。公式ウェブサイトに応募ポータルがあります。
Q: 従来のツール (ファズ/SCA など) とどう違うのですか?
A: LLM 推論とツールの使用を中心に、「分析 - サブミッションスキャン - サンドボックス検証 - パッチ適用」という多段階のプロセスに従います。これは、人間のセキュリティ研究者の方法論に近いものです。
Q: 自動修復はサポートされていますか?
A: Codex によって生成され、Aardvark によってレビューされたパッチが付属しますが、監視されていない変更を避けるために、手動でレビューし、ワンクリックでマージする必要があります。
Q: 実際の結果に関するデータはありますか?
A: 公式声明では、ベンチマーク リポジトリでの認識率は 92% であり、10 件の CVE レベルの開示が促進されたと主張していますが、外部での再現と横断的評価はまだ進行中です。
Q: オープンソース コミュニティの計画は何ですか?
A: 一部の非商用オープンソースリポジトリに無料スキャンを提供し、更新された開示ポリシーで持続可能なコラボレーションを促進する計画です。
