OpenAI Aardvark biedt autonome AI-veiligheidsonderzoeker voor software

Met tienduizenden nieuwe kwetsbaarheden die jaarlijks worden ontdekt, staat softwareveiligheid wereldwijd onder druk. Aardvark moet dit evenwicht in het voordeel van de verdedigers doen omslaan door beveiligingsteams en ontwikkelaars te helpen bij het ontdekken en repareren van kwetsbaarheden op schaal.

Hoe Aardvark werkt: redeneren als een mens

In tegenstelling tot traditionele analysetools, maakt Aardvark gebruik van LLM-gedreven redenering en hulpmiddelengebruik om het gedrag van code te begrijpen. Het zoekt naar fouten zoals een menselijke beveiligingsonderzoeker dat zou doen: door code te lezen, te analyseren, tests uit te voeren en gespecialiseerde tools te gebruiken.

Het proces van Aardvark volgt een meerstappenpijplijn:

1. Analyse: Eerst wordt de volledige code repository geanalyseerd om een dreigingsmodel te creëren op basis van de beveiligingsdoelstellingen van het project.
2. Commit Scanning: Nieuwe codewijzigingen worden continu gescand tegen het dreigingsmodel en de volledige codebasis. De agent legt de gevonden kwetsbaarheden stap voor stap uit.
3. Validatie: Potentiële kwetsbaarheden worden in een geïsoleerde, sandboxed omgeving geactiveerd om de exploitability te bevestigen, wat zorgt voor nauwkeurige en hoogwaardige inzichten met een lage fout-positiefratio.
4. Patching: Aardvark maakt gebruik van OpenAI Codex om een scanbare patch te genereren voor elke kwetsbaarheid. Deze kan na menselijke controle met één klik worden toegepast.

Aardvark integreert met GitHub en bestaande ontwikkelworkflows, waardoor het team de veiligheid kan versterken zonder de innovatie te vertragen.

Significante impact en toewijding aan Open Source

Aardvark is al enkele maanden actief binnen OpenAI's interne codebases en bij externe alpha-partners, waar het al betekenisvolle kwetsbaarheden heeft blootgelegd. In benchmarktests op 'gouden' repositories identificeerde Aardvark 92% van de bekende kwetsbaarheden, wat de effectiviteit in de praktijk aantoont.

OpenAI zet zich ook in om bij te dragen aan het open-source ecosysteem. Aardvark heeft al diverse kwetsbaarheden in open-source projecten ontdekt en verantwoordelijk gemeld, waarvan er tien reeds een officiële CVE-identificatie hebben ontvangen.

OpenAI is van plan om geselecteerde niet-commerciële open-source projecten pro-bono scanning aan te bieden om de veiligheid van de softwareketen te vergroten.

Met meer dan 40.000 gemelde CVE's in 2024 en ongeveer 1,2% van de codewijzigingen die een bug introduceren, vertegenwoordigt Aardvark een nieuw, verdediger-eerst model dat teams continue bescherming biedt terwijl code evolueert. Geïnteresseerde organisaties en open-source projecten kunnen zich nu aanmelden voor de besloten bèta.