OpenAI je lansirao Aardvark, novog autonomnog sigurnosnog agenta pogonjenog modelom GPT-5 koji u privatnoj beta fazi neprekidno analizira izvorni kod, potvrđuje ranjivosti i predlaže zakrpe.
Aardvark imitira rad ljudskog stručnjaka za kibernetičku sigurnost kroz višestupanjsku LLM arhitekturu koja radi 24 sata dnevno, sedam dana u tjednu. U prvim internim i partnerskim testiranjima sustav je pronašao 92 % poznatih i sintetski ubačenih propusta, a otkrio je i deset dosad nezabilježenih ranjivosti kojima su naknadno dodijeljeni CVE identifikatori.
Ključne značajke • Sveobuhvatno modeliranje prijetnji: pri prvom spajanju skladišta koda, agent stvara vlastiti model prijetnji koji odražava arhitekturu i sigurnosne ciljeve projekta. • Skeniranje pri svakom commitu: Aardvark uspoređuje nove promjene s prethodnim stanjem i modelom prijetnji, a istodobno vrši i povijesnu analizu. • Sandbox validacija: otkrivene rupe testiraju se u izoliranom okruženju kako bi se smanjio broj lažnih alarma. • Automatsko krpanje: putem integracije s alatom Codex agent generira prijedloge zakrpa i predaje ih kao pull requestove koje potom pregledavaju razvojni timovi.
Agent se ugrađuje izravno u GitHub Cloud, CI/CD i ostale DevOps tokove, a sve nalaze bilježi na ljudima čitljiv način s jasnim objašnjenjima i ponovljivim koracima testiranja.
Zašto sada? Tijekom 2024. zabilježeno je više od 40 000 novih CVE-ova, dok interna OpenAI-jeva statistika pokazuje da 1,2 % svih commitova donosi barem jednu grešku. U takvom okruženju, naglašavaju iz tvrtke, „defender-first“ agent poput Aardvarka može multiplicirati kapacitete malih sigurnosnih timova jer automatizira zamorno skeniranje i validaciju.
Širi kontekst Aardvark dolazi samo dan nakon predstavljanja modela gpt-oss-safeguard i pridružuje se još dvama agentima koje je OpenAI lansirao ove godine – ChatGPT agentu (virtualno računalo i preglednik) i novoj, GPT-5 varijanti Codexa fokusiranoj na generiranje koda. Za razliku od statičnih alata za fuzzing ili analizu sastavnica, Aardvark koristi rezoniranje velikih jezičnih modela kako bi razumio semantiku programa i locirao logičke, sigurnosne i čak privatnosne propuste.
Uvjeti sudjelovanja u beti • organizacija mora koristiti GitHub Cloud; • spremnost na aktivnu interakciju s agentom i davanje povratnih informacija; • prihvaćanje posebnih uvjeta i pravila privatnosti.
OpenAI ističe da se kod obrađen tijekom bete neće koristiti za treniranje budućih modela te najavljuje besplatno skeniranje odabranih nekomercijalnih open-source projekata kako bi se poduprla sigurnost cjelokupnog softverskog lanca.
Mogući utjecaj Ako se pokazatelji iz bete potvrde u široj primjeni, Aardvark bi mogao promijeniti način na koji razvojni timovi ugrađuju sigurnost u kontinuirane isporuke softvera. Autonomna validacija, ljudima čitljive zakrpe i integracija u postojeće tokove rada mogla bi smanjiti umor od alarma i omogućiti stručnjacima da se usmjere na strateške incidente umjesto na manuelno skeniranje.
Tako OpenAI novim agentom potvrđuje pomak od statičnih alata prema fleksibilnim, prilagodljivim sustavima koji prate kod u stvarnom vremenu i odmah reagiraju na otkrivene prijetnje.