OpenAI представи агента с изкуствен интелект Aardvark за откриване и отстраняване на софтуерни уязвимости
OpenAI показа Aardvark – проучвателен сътрудник с изкуствен интелект, основан на GPT-5, за разкриване на софтуерни уязвимости.
OpenAI отбелязва, че всяка година се откриват десетки хиляди нови уязвимости в корпоративните бази данни и базите данни с отворен код. Експертите се сблъскват с нелеката задача да откриват и отстраняват уязвимостите преди нападателите. Aardvark съставлява пробив в региона на изкуствения разсъдък и проучванията в региона на сигурността. Той е самостоятелен сътрудник, който може да помогне на разработчиците и екипите по сигурността да откриват и отстраняват уязвимости в сигурността в огромен мащаб.
Aardvark непрестанно проучва хранилищата с първоначален код, с цел да разпознава уязвимости, да реши дали те могат да бъдат употребявани, да дефинира сериозността им и да предложи целеви ремонти.
Той наблюдава предаванията и измененията в базите с кодове, разпознава уязвимостите, дефинира по какъв начин те могат да бъдат експлоатирани и предлага решения. Aardvark не употребява обичайни техники за разбор на софтуера, като да вземем за пример фазиране или разбор на състава на софтуера. Вместо това той употребява LLM-базирани разсъждения и принадлежности, с цел да разбере държанието на кода и да разпознава уязвимостите. Aardvark търси неточности по същия метод, по който го прави един откривател на сигурността: посредством четене на код, анализиране, основаване и осъществяване на проби, потребление на принадлежности и други.
Aardvark употребява многоетапен конвейер за идентифициране, пояснение и премахване на уязвимости:
Анализ: Aardvark стартира с разбор на цялото вместилище, с цел да сътвори модел на заканите, който отразява разбирането на задачите за сигурност и архитектурата на плана. Сканиране: Aardvark сканира за уязвимости, като ревизира за промени на равнище ангажимент в цялото вместилище и модела на опасността при прибавяне на нов код. Когато за първи път се свържете с вместилище, Aardvark сканира историята му, с цел да разпознава съществуващи проблеми. Aardvark изяснява откритите уязвимости малко по малко, като анотира кода за потвърждаване от индивида. Валидация: След като Aardvark открие евентуална накърнимост, той ще се опита да я започва в изолирана среда, с цел да удостовери, че тя може да бъде употребена. Aardvark разказва стъпките, подхванати за обезпечаване на точни, висококачествени и ниски равнища на подправени позитивни резултати. Поправка: Aardvark се интегрира с OpenAI Codex, с цел да поправя откритите уязвимости. Той прикрепя генерирана от Codex и сканирана от Aardvark кръпка към всяко изобретение за човешка инспекция и дейно използване на кръпката с едно кликване.Въпреки че Aardvark е планиран да обезпечава сигурност, OpenAI е открила по време на тестванията, че той може също по този начин да открива логичен неточности, непълни кръпки и проблеми с поверителността.
Aardvark работи непрестанно с вътрешните кодови бази на OpenAI и тези на външни сътрудници в продължение на няколко месеца. В OpenAI той е открил съществени уязвимости и е съдействал за възстановяване на сигурността на софтуера. При сравнителни проби на „ златни “ складове Aardvark разпознава 92% от известните и изкуствено основани уязвимости, демонстрирайки висока цялост и успеваемост в действителни условия.
Aardvark беше прибавен и към планове с отворен код, където откри голям брой уязвимости, на 10 от които бяха присвоени идентификатори Common Vulnerabilities and Exposures (CVE). OpenAI отбелязва, че има намерение да предлага гратис сканиране на определени некомерсиални складове с отворен код, с цел да способства за сигурността на екосистемата и веригата за доставки на програмен продукт с отворен код. Компанията неотдавна актуализира своята координирана политика за откриване на информация, с цел да се концентрира върху разработчиците, съдействието и мащабируемото влияние, а не върху строгите крайни периоди за откриване, които могат да окажат напън върху разработчиците.
Aardvark към този момент е разполагаем в затворена бета версия, с цел да се тестват и усъвършенстват опциите му в действителна среда. OpenAI кани определени сътрудници да се причислят и да работят непосредствено с екипа на компанията за възстановяване на точността на разкриване, работните процеси за валидиране и качеството на докладите.
