English
中文
Deutsch
StartseiteArtikel

OpenAI hat ein Sicherheitsforschung-Intelligentes Agens veröffentlicht: Es kann wie menschliche Experten Sicherheitslücken finden und Patches schreiben.

36氪的朋友们2025-10-31 13:14
In der Nacht vom 31. Oktober veröffentlichte OpenAI einen Sicherheitsforschungskünstlichen Intelligenz-Agenten namens Aardvark, was markiert, dass KI nun offiziell an die vorderste Front des Netzwerksicherheitskonflikts zwischen Angriff und Verteidigung vorstößt.

Am frühen Morgen des 31. Oktober veröffentlichte OpenAI einen Sicherheitsforschungsmagneten namens Aardvark, was bedeutet, dass KI nun offiziell an die Spitze des Netzwerksicherheitskampfes vorrückt.

Dieser Magnet wird von dem GPT-5-Modell angetrieben. Er kann nicht nur wie menschliche Experten Softwarelücken erkennen und beheben, sondern auch rund um die Uhr nach Lücken suchen und den gesamten Prozess von der Codeanalyse bis zur Erstellung von Patches autonom durchführen.

Als erweiterbares Verteidigungswerkzeug, das für moderne Softwareentwicklungumgebungen entwickelt wurde, wird Aardvark derzeit in den Codebibliotheken von OpenAI und externen Partnern umfassend getestet. Laut einem Bericht von OpenAI hat Aardvark sich bei der Erkennung bekannter und synthetischer Lücken hervorgetan und in der frühen Implementierungsphase mehrere zuvor unentdeckte Sicherheitslücken entdeckt.

Vierstufiges Verteidigungssystem: Von der Bedrohungsmodelierung bis zur automatischen Reparatur

Als intelligentes System kann Aardvark Quellcode-Repositories kontinuierlich überwachen und analysieren. Im Gegensatz zu herkömmlichen Tools, die auf Fuzz-Testing oder Softwarekomponentenanalyse beruhen, nutzt er die Inferenzfähigkeit und die Tool-Aufruf-Funktion von großen Sprachmodellen, um das Codeverhalten zu verstehen und potenzielle Lücken zu erkennen.

Dieses System reproduziert den systematischen Arbeitsablauf von Sicherheitsforschern vollständig, indem es Code liest, semantische Analysen durchführt, Testfälle schreibt und ausführt und verschiedene Diagnosetools aufruft.

(Abb.: Funktionsweise von Aardvark)

Sein Betriebsmechanismus folgt einem sorgfältig geplanten Vier-Phasen-Prozess:

Bedrohungsmodelierung: Durch umfassende Analyse des Code-Repositories wird ein Bedrohungsmodel erstellt, das die Sicherheitsziele und die Architektur des Softwareprojekts widerspiegelt.

Code-Level-Scan: Beim Einreichen von Codeänderungen werden diese mit dem Bedrohungsmodel im Repository verglichen, um potenzielle Sicherheitsrisiken zu identifizieren.

Verifikationssandkasten: In einer isolierten Umgebung wird die Ausnutzbarkeit erkannter Lücken überprüft, um die Fehlalarmrate zu senken.

Automatische Reparatur: OpenAI Codex wird integriert, um Reparaturpatches zu generieren und diese über Pull-Requests an die Entwickler zur Überprüfung zu senden.

Aardvark ist tief in GitHub, Codex und gängige Entwicklungsprozesse integriert und bietet kontinuierliche und nicht-eingreifende Sicherheits-Scanservices. Alle Analyseergebnisse können von Menschen überprüft werden und sind mit klaren Kommentaren versehen, um die Reproduzierbarkeit des gesamten Analyseprozesses sicherzustellen.

Erstaunliche Praxisleistung, Genauigkeit über 90%

Laut OpenAI wurde Aardvark bereits mehrere Monate lang in internen OpenAI-Code-Repositories und in Systemen ausgewählter Partner eingesetzt. In einer Benchmark-Testung an einem "Gold"-Code-Repository mit bekannten und synthetischen Lücken identifizierte Aardvark 92% der Probleme.

Darüber hinaus entdeckte der Magnet in echten Open-Source-Projekten mehrere kritische Probleme, darunter zehn hochgefährliche Sicherheitslücken mit CVE-Nummern. Alle entdeckten Probleme wurden gemäß der neuesten Koordinierungs- und Offenlegungspolitik verantwortungsvoll offen gelegt.

Im praktischen Einsatz entdeckte Aardvark auch komplexe Fehler außerhalb des Bereichs traditioneller Sicherheitsmängel, wie logische Fehler, unvollständige Reparaturen und Privatsphäre-Risiken, was seine breitere Anwendbarkeit außerhalb von sicherheitsspezifischen Szenarien zeigt.

OpenAIs Strategie für intelligente Magneten beginnt sich abzuzeichnen

Die Veröffentlichung von Aardvark ist kein isoliertes Ereignis, sondern ein wichtiger Baustein in OpenAIs sorgfältig geplanten Portfolio von intelligenten Magneten. Bemerkenswerterweise ist dies bereits das dritte intelligente System, das OpenAI in letzter Zeit veröffentlicht hat.

Im Mai 2025 veröffentlichte OpenAI den Codex-Magneten, ein KI-Programmierassistent, der auf einer Variante von GPT-5 basiert. Im Juli desselben Jahres folgte der ChatGPT-Magnet, der in der Lage ist, virtuelle Computer und Browser zu steuern und Bürodateien zu erstellen und zu bearbeiten.

Diese Reihe von Aktionen zeigt deutlich, dass OpenAI sich von "allgemeinen großen Modellen" hin zu "vertikalen intelligenten Magneten" vollstä

该文观点仅代表作者本人,36氪平台仅提供信息存储空间服务。

Für Presseanfragen, Content-Kooperationen, Geschäftliche Zusammenarbeit oder zur Gewinnung globaler Partner im Ökosystem, können Sie uns über folgenden Kontakte erreichen: E-Mail an mohaiying@36kr.com.
Partner:startuprad.io

(eu.36kr.com) ist ein branchenspezifisches Medium, das sich auf internationale Märkte konzentriert und Unternehmen bei ihren grenzüberschreitenden Aktivitäten mit umfassender Beratung und professionellen Dienstleistungen unterstützt.

© 2024 36kr.com. All rights reserved.