10月31日,OpenAI正式推出由GPT-5大模型驱动的“白帽”智能体Aardvark(土豚),这款被定义为“代理型安全研究员”的工具,以自动化漏洞检测与修复能力打破传统安全防护模式,为大规模代码库的安全防护提供了全新解决方案。作为OpenAI智能体产品矩阵的关键成员,Aardvark的发布标志着AI技术正式深度介入网络安全攻防核心领域,开启了人机协同的代码安全防护新时代。
Aardvark的核心优势在于将GPT-5的强大推理能力与安全研究流程深度融合,实现了从漏洞发现到修复的全链路自动化。在植入已知漏洞和人工注入漏洞的“黄金测试仓库”基准测试中,它成功识别出92%的安全问题,远超传统工具的检测效率。与依赖模糊测试或软件成分分析的传统方案不同,Aardvark更像人类安全专家,能够通过阅读代码、语义分析、编写测试用例等方式,精准定位复杂条件下才会显现的漏洞,甚至包括逻辑缺陷、不完整修复及隐私风险等非典型安全问题。
其工作流程形成了闭环防护体系:首先对整个代码库进行全面分析,生成反映项目安全目标与架构设计的威胁模型;在代码提交环节,实时对比变更内容与威胁模型,首次接入时还会回溯历史提交记录;识别出的潜在漏洞会被送入隔离沙盒环境验证可利用性,有效降低误报率;最终通过集成OpenAI Codex生成精准修复补丁,并以Pull Request形式提交给开发者审核,整个过程无需人工干预即可完成。
Aardvark设计之初便注重实用性与兼容性,可无缝对接GitHub、Codex及主流开发流程,在不影响开发效率的前提下提供非侵入式安全扫描服务。所有分析结果均附带清晰注释与验证步骤,支持人工审计复核,确保整个安全防护过程可追溯、可复现。
在正式发布前,Aardvark已在OpenAI内部代码库及合作伙伴项目中经过数月实测,表现亮眼。它不仅成功发现多个此前未被检测出的安全漏洞,还在真实开源项目中披露了多项高危问题,其中10个漏洞已获得CVE编号,按照协调披露政策完成负责任披露。对于快速迭代的开发团队而言,这款工具能有效减少因代码提交引入的安全风险——数据显示,1.2%的代码提交会带来安全错误,而Aardvark的实时监控能力可将这类风险扼杀在萌芽阶段。
