OpenAI introduceert Aardvark, een autonome security agent die kwetsbaarheden in code opspoort en oplost. De tool is nu beschikbaar in een private beta en moet ontwikkelaars ondersteunen bij het voorkomen van securityproblemen.
Aardvark herkent 92 procent van bekende en synthetisch geïntroduceerde kwetsbaarheden in test-repositories, blijkt uit benchmarks. Voor open-sourceprojecten heeft OpenAI al tientallen kwetsbaarheden ontdekt en gemeld, waarvan er tien een CVE-nummer kregen toegewezen.
OpenAI stelt dat Aardvark ook logic flaws, incomplete fixes en privacy-problemen aan het licht brengt. “Ongeveer 1,2 procent van commits introduceert bugs. Kleine wijzigingen kunnen grote gevolgen hebben”, stelt het bedrijf.
De tool werkt samen met platforms als GitHub en bestaande workflows. Dit moet ervoor zorgen dat ontwikkelaars productief blijven terwijl de beveiliging omhooggaat.
AI als securityonderzoeker
Softwarekwetsbaarheden blijven een serieus probleem. Jaarlijks worden tienduizenden nieuwe kwetsbaarheden ontdekt, en ontwikkelaars proberen voortdurend om aanvallers voor te blijven. Aardvark richt zich op deze uitdaging door gebruik te maken van GPT-5 en redeneertechnologie. De tool scant continu code-repositories om problemen te identificeren voordat ze worden uitgebuit.
In tegenstelling tot traditionele analyse-instrumenten hanteert Aardvark een meer menselijke benadering. Het analyseert code zoals een securityonderzoeker dat zou doen: door code te lezen, tests uit te voeren en tools in te zetten.
Van ontdekking tot oplossing
De security agent doorloopt meerdere fases. Eerst creëert hij een threat model op basis van de hele repository. Vervolgens controleert hij nieuwe commits tegen dit model. Bij elk nieuw aangesloten project scant Aardvark de bestaande codebase. OpenAI legt in de aankondiging uit dat het systeem kwetsbaarheden stapsgewijs toelicht met annotaties.
Na het identificeren van een potentiële kwetsbaarheid probeert Aardvark deze te exploiteren in een sandbox-omgeving. Dit minimaliseert false positives. Als laatste stap genereert Aardvark via integratie met OpenAI Codex een patch. Ontwikkelaars krijgen hiermee een direct bruikbare oplossing.
OpenAI heeft ook zijn disclosure-beleid aangepast. In plaats van rigide deadlines kiest het bedrijf voor een samenwerkingsgerichte aanpak. “We verwachten dat tools als Aardvark tot meer ontdekte bugs zullen leiden. We willen op duurzame wijze samenwerken om veerkracht te bereiken”, zo luidt de uitleg.
De private beta staat nu open voor geselecteerde partners. OpenAI wil vooral valideren hoe Aardvark presteert in verschillende omgevingen.
Tip: OpenAI mikt op grootste beursgang ooit, maar is geduldig