Aardvark บนพื้นฐาน GPT-5: ยกระดับมาตรฐานใหม่ของงานวิจัยด้านความปลอดภัยด้วยการตรวจจับช่องโหว่ได้ 92%

OpenAI เปิดตัวเอเจนต์วิจัยความปลอดภัยอัตโนมัติ "Aardvark" ที่ใช้ GPT-5 ท่ามกลางสถานการณ์ที่มีการรายงานช่องโหว่ใหม่มากกว่า 40,000 รายการในปี 2024 เพียงปีเดียว ซึ่งการรับมือด้วยบุคลากรที่มีอยู่อย่างจำกัดเริ่มถึงขีดจำกัด Aardvark สามารถวิเคราะห์โค้ดและทดสอบได้เหมือนนักวิจัยด้านความปลอดภัยของมนุษย์ และได้ค้นพบ CVE ใหม่แล้ว 10 รายการในโครงการโอเพนซอร์ส

คุณสมบัติหลัก

• อัตราการตรวจจับสูง: ตรวจจับช่องโหว่ที่ทราบอยู่แล้วและช่องโหว่สังเคราะห์ได้ 92% ในเบนช์มาร์กรีโพซิทอรี "golden" แสดงให้เห็นประสิทธิภาพในการใช้งานจริง
• แนวทางที่ยึดมนุษย์เป็นศูนย์กลาง: แทนที่จะพึ่งพา fuzzing หรือ static analysis ใช้การให้เหตุผลบนพื้นฐาน LLM เพื่อทำความเข้าใจโค้ด เขียนและรันทดสอบ จับบั๊กที่มีเงื่อนไขซับซ้อนได้ด้วย
• การมีส่วนร่วมกับโอเพนซอร์ส: มีแผนให้บริการสแกนฟรีกับรีโพโอเพนซอร์สที่ไม่ใช่เชิงพาณิชย์ พร้อมใช้นโยบายการเปิดเผยอย่างมีความรับผิดชอบ

วิธีการทำงาน (ไปป์ไลน์ 4 ขั้นตอน)

1. การวิเคราะห์ (Analysis): วิเคราะห์ทั้งรีโพซิทอรีเพื่อสร้าง threat model (ทำความเข้าใจวัตถุประสงค์ของโครงการและการออกแบบด้านความปลอดภัย)
2. การสแกนคอมมิต (Commit Scanning): ตรวจทานการเปลี่ยนแปลงและสแกนประวัติเดิม พร้อมคำอธิบายช่องโหว่และคอมเมนต์ในโค้ด
3. การตรวจยืนยัน (Validation): พยายามโจมตีใช้ประโยชน์จริงใน sandbox พร้อมอธิบายอินไซต์ที่มีอัตรา false positive ต่ำ
4. การแพตช์ (Patching): ผสานการทำงานกับ Codex เพื่อเสนอแนวทางแก้ไข และสามารถนำไปใช้ได้ด้วยคลิกเดียว

ระบบเชื่อมต่อกับ GitHub และ Codex ได้ จึงผสานเข้ากับเวิร์กโฟลว์การพัฒนาได้อย่างเป็นธรรมชาติ และได้ค้นพบช่องโหว่ที่มีนัยสำคัญแล้วภายใน OpenAI และในสภาพแวดล้อมของพาร์ตเนอร์

เบื้องหลังและผลกระทบ

ก้าวข้ามข้อจำกัดของเครื่องมือแบบดั้งเดิม ด้วยการรับมือบั๊กโดยอัตโนมัติในคอมมิตโค้ด 1.2% พร้อมช่วยแก้ปัญหาความไม่สมดุลระหว่างผู้โจมตีกับผู้ป้องกัน และตรวจจับได้ถึงข้อบกพร่องเชิงตรรกะและประเด็นด้านความเป็นส่วนตัว เสริมความแข็งแกร่งให้ระบบนิเวศโอเพนซอร์สและยกระดับความยืดหยุ่นด้านความปลอดภัยในระยะยาวผ่านการเปิดเผยแบบร่วมมือกัน

ขณะนี้อยู่ในช่วง private beta โดยองค์กรที่สนใจสามารถสมัครได้ผ่านเว็บไซต์ของ OpenAI