GPT-5 задвижва Aardvark: Автоматизиран ловец на уязвимости в кода

OpenAI пуска „агентен изследовател по сигурността“ – Aardvark

OpenAI обяви старта на нов инструмент, наречен Aardvark (в превод: „земеровка“ – малко животинче, което копае дълбоко). Той е изкуствен интелект (ИИ), задвижван от най-новия им модел – GPT-5 (голям езиков модел, или LLM – софтуер, който разбира и генерира човешки текст). Aardvark е програмиран да се държи като човешки експерт по сигурността – да сканира код, да го разбира и да го поправя, когато открие грешки.

Какво прави Aardvark?

Този автономен агент (т.е. работи самостоятелно, без постоянна човешка намеса) помага на програмистите и екипите по сигурността да намират и поправят уязвимости в кода на голям мащаб. В момента е в затворена бета версия – достъпен само за избрани потребители.

„Aardvark постоянно анализира хранилищата с изходен код, за да открие уязвимости, да прецени колко лесно могат да бъдат използвани от хакери, да определи колко са опасни и да предложи точни поправки.“ – казват от OpenAI.

Как работи на практика?

• 1. Вгражда се в процеса на разработка – наблюдава всяка промяна в кода (т.нар. commits – запис на нови или променени редове код).
• 2. Открива проблеми – намира слабости в сигурността и преценява дали могат да бъдат използвани за атака.
• 3. Предлага решения – използва логиката на GPT-5 и специални инструменти, за да създаде поправка.

Задвижван от GPT-5

GPT-5 е представен през август 2025 г. OpenAI го наричат „умен и ефективен модел“, който:

• Мисли по-дълбоко (благодарение на т.нар. GPT-5 thinking).
• Избира най-подходящия подмодел в реално време според сложността на задачата и намерението на потребителя (т.нар. real-time router).

Как Aardvark разбира проекта?

• Анализира целия код на проекта.
• Създава модел на заплахите – карта на това какво трябва да бъде защитено и как е проектирана системата.
• Проверява историята на кода за стари проблеми.
• Следи новите промени и веднага търси нови уязвимости.

Когато открие грешка:

• 1. Опитва да я задейства в изолирана, безопасна среда (т.нар. sandbox – като „пясъчник“, в който нищо не може да излезе навън).
• 2. Потвърждава дали е реално опасна.
• 3. Използва OpenAI Codex (друг ИИ, специализиран в писане на код), за да създаде поправка.
• 4. Поправката се предава на човек за преглед.

Резултати до момента

OpenAI тества Aardvark върху собствения си код и при партньори в алфа фазата. Резултатът: открити са поне 10 CVEs (т.нар. Common Vulnerabilities and Exposures – публично известни уязвимости в софтуера) в проекти с отворен код.

Не сме само ние

OpenAI не е единствената компания, която работи в тази посока:

• През този месец Google пусна CodeMender – инструмент, който открива, поправя и пренаписва уязвим код, за да предотврати бъдещи атаки.
• Google планира да работи с поддръжниците на важни проекти с отворен код, за да интегрира автоматичните поправки.

Инструменти като Aardvark, CodeMender и XBOW се превръщат в стандарт за:

• Постоянно сканиране на кода,
• Проверка дали уязвимостите са реално използваеми,
• Генериране на поправки.

Това идва скоро след като OpenAI пусна gpt-oss-safeguard – модели, специално обучени да класифицират рискове в сигурността.

Какво казва OpenAI?

„Aardvark е нов модел на защита – агентен изследовател по сигурността, който партнира с екипите, като осигурява непрекъсната защита, докато кодът се развива. Като улавя уязвимостите рано, потвърждава реалната им опасност и предлага ясни поправки, Aardvark укрепва сигурността, без да забавя иновациите. Ние вярваме в разширяването на достъпа до експертни знания по сигурността.“

В обобщение: Aardvark е като „виртуален хакер на добра страна“ – копае дълбоко в кода, намира дупки и ги запушва, преди някой лош да ги използва. И всичко това – автоматично, бързо и с обяснения, които човек може да провери.