OpenAI發表資安研究AI代理Aardvark，可自動找漏洞及寫修補程式

OpenAI周四（10/30）發表了基於GPT-5的AI資安工具Aardvark，它能像人類資安專家一樣分析程式碼、找出漏洞並自動提出修補方案。

Aardvark的核心設計是以LLM推理為基礎，而非傳統工具如fuzzing或軟體組件分析。它能讀懂整個程式庫的架構、建立威脅模型，並以逐行理解的方式發現邏輯錯誤、未完整修補的歷史問題與隱私相關漏洞。當儲存庫被連結後，Aardvark會先全面掃描歷史，之後持續監控每一次提交，並在程式碼變動時即時偵測新漏洞。

整個漏洞處理流程包含四大階段：首先進行程式碼庫的分析，建立威脅模型；其次，對每次提交進行比對與掃描；第三步在沙盒（Sandbox）環境中嘗試實際觸發漏洞，確認可利用性並降低誤報；最後，Aardvark會透過Codex生成修補程式碼，並附上一鍵提交Pull Request的選項。OpenAI表示，這能讓工程團隊在不打斷開發速度的情況下，快速採用高品質修補。

在基準測試中，Aardvark可找出92%的已知與人工加入漏洞，偵測率遠高於多數傳統工具。OpenAI表示，Aardvark已於該公司內部協助揭露多個具實際影響力的安全問題，外部測試夥伴亦發現Aardvark可找到只有在高度複雜條件下才會出現的安全漏洞。

OpenAI亦將Aardvark應用於開源領域，迄今已於多個開源專案中找到並揭露漏洞，其中有至少10個已取得CVE編號。未來OpenAI將提供部分非商業開源專案免費掃描。

OpenAI認為，現在所有的行業都靠軟體運作，因此只要是軟體有漏洞，就會造成產業與社會的風險，光是2024年就有超過4萬個漏洞被公開，此外，其內部測試顯示，約有1.2%的程式碼提交會自然引入新的臭蟲，這也使得Aardvark被當作防禦者優先模型，可於漏洞尚未被利用之前早期預警，並提供可行的修補方案。

Aardvark目前處於私人測試階段，OpenAI正邀請特定合作夥伴參與測試，未來將逐步擴大使用範圍。