OpenAI는 GPT-5 기반 "프록시 보안 연구자" 도구인 Aardvark의 비공개 베타 버전을 출시한다고 발표했습니다. Aardvark는 코드베이스를 지속적으로 분석하고, 위협 모델을 구축하고, 제출된 변경 사항을 기반으로 취약점을 찾아내고, 악용 가능성을 평가합니다. 샌드박스에서 취약점을 재현한 후, Codex를 호출하여 수정 사항을 생성하고, 이를 사람의 검토를 위해 제출하여 단계별 설명 및 코드 주석과 함께 병합합니다. 이 시스템은 개발 및 보안 팀을 대상으로 하며, 개발 프로세스를 방해하지 않으면서 실행 가능한 수정 제안을 제공하는 데 중점을 둡니다.
공식 발표에 따르면, Aardvark는 내부 및 외부 초기 파트너 환경에서 지속적으로 실행되어 왔으며, "골든 리포지토리" 벤치마크에서 알려진 및 합성 취약점의 92%를 식별했습니다. 또한 오픈소스 프로젝트에서 여러 문제를 책임감 있게 공개했으며, 그중 10개에 CVE 번호가 지정되었습니다. OpenAI는 또한 일부 비상업적 오픈소스 리포지토리에 대한 무료 스캐닝 서비스를 제공하고 외부 조정 및 공개 정책을 업데이트할 것이라고 밝혔습니다. 비공개 테스트 단계에서 접근 범위가 점진적으로 확대될 예정입니다.
자주 묻는 질문
질문: Aardvark는 현재 어떻게 통합될 수 있나요?
A: 현재 비공개 테스트 단계이며, 초대된 파트너와 일부 오픈소스 프로젝트에 공개되어 있습니다. 공식 웹사이트에서 신청 포털을 이용하실 수 있습니다.
질문: 기존 도구(예: 퍼즈/SCA)와 어떤 점이 다릅니까?
답변: LLM 추론과 도구 사용을 중심으로 "분석 - 제출 검토 - 샌드박스 검증 - 패치"의 다단계 프로세스를 따르며, 이는 인간 보안 연구자의 방법론에 더 가깝습니다.
질문: 자동 복구를 지원하나요?
답변: Codex에서 생성하고 Aardvark에서 검토한 패치가 제공되지만, 감독되지 않은 변경을 방지하기 위해 수동으로 검토하고 한 번의 클릭으로 병합해야 합니다.
질문: 실제 결과에 대한 데이터가 있나요?
답변: 공식 성명에서는 벤치마크 저장소에서 92%의 인식률을 달성했으며, 10건의 CVE 수준 공개를 촉진했다고 주장하고 있습니다. 외부 복제 및 횡단면 평가는 아직 진행 중입니다.
질문: 오픈소스 커뮤니티에 대한 계획은 무엇인가요?
답변: 비상업적 오픈소스 저장소에 대한 무료 스캐닝을 제공하고 업데이트된 공개 정책을 통해 지속 가능한 협업을 촉진하려는 계획입니다.
