Модель, которая в настоящее время находится в бета-режиме, предназначена для автоматического сканирования, анализа и устранения уязвимостей в базах закрытого и открытого исходного кода.
Вчетверг компания OpenAI выпустила новую модель искусственного интеллекта, ориентированную на безопасность, которая призвана автоматизировать поиск ошибок, их исправление и устранение.
Модель, основанная на ChatGPT-5 и получившая название Aardvark, используется внутри OpenAI и внешними партнёрами. В настоящее время она доступна только в бета-версии, доступ к которой ограничен. Она предназначена для непрерывного сканирования репозиториев исходного кода с целью поиска известных уязвимостей и ошибок, оценки и приоритизации их потенциальной серьёзности, а затем исправления и устранения.
В сообщении в блоге , опубликованном на веб-сайте компании, OpenAI утверждает, что Aardvark «не полагается на традиционные методы анализа программ, такие как фаззинг или анализ состава программного обеспечения».
«Вместо этого он использует рассуждения, основанные на LLM, и инструменты для понимания поведения кода и выявления уязвимостей», — говорится в блоге. «Aardvark ищет ошибки так же, как это делает исследователь в области человеческой безопасности: читая код, анализируя его, создавая и запуская тесты, используя инструменты и многое другое».
Иллюстрация того, как Aardvark, новая модель безопасности OpenAI, выявляет, анализирует и устраняет уязвимости. (Источник: OpenAI)
OpenAI утверждает, что Aardvark также может разрабатывать модели угроз на основе содержимого репозитория, а также проектировать цели и дизайн безопасности, изолировать уязвимости для проверки возможности их эксплуатации, аннотировать проблемный код и отправлять предлагаемые исправления для проверки человеком.
Компания заявила, что помимо поиска уязвимостей безопасности, Aardvark продемонстрировал способность выявлять ошибки логики и конфиденциальности в кодовых базах, а также выявил 92% известных и искусственно созданных уязвимостей в неуказанных «золотых» репозиториях. Участники сообщества разработчиков ПО с открытым исходным кодом, управляющие некоммерческими репозиториями, смогут использовать сканер бесплатно.
В сентябре компания недавно обновила свой скоординированный процесс раскрытия информации об уязвимостях, внедрив изменения, в том числе отказ от строгих сроков раскрытия информации, что, по словам OpenAI, может «оказывать давление на разработчиков», и акцент на более широкой безопасности экосистемы. Бета-версия модели в настоящее время доступна для избранных исследовательских партнёров, и OpenAI заявила, что планирует со временем расширить сферу применения инструмента по мере совершенствования возможностей обнаружения, проверки и составления отчётов.
«Выявляя уязвимости на ранних стадиях, проверяя возможность их эксплуатации в реальных условиях и предлагая понятные решения, Aardvark может усилить безопасность, не замедляя инновации», — говорится в блоге.
Выпуск Aardvark отражает стремление OpenAI использовать свою технологию для автоматизированного сканирования и устранения уязвимостей — области, в которой большие языковые модели продемонстрировали растущую перспективность и потенциал за последний год. Компания заявила, что на данный момент Aardvark выявила 10 уязвимостей, получивших записи Common Vulnerabilities and Exposure (CVE).
Другие компании, такие как стартап XBOW, за последний год смогли разработать модели безопасности на базе ИИ, которые могут оказаться на верхних строчках рейтингов по поиску уязвимостей на HackerOne и BugCrowd, работать круглосуточно и выявлять и устранять сотни уязвимостей.
Основатель XBOW Оге де Мур, ранее возглавлявший GitHub Next, подразделение компании по исследованию и разработке программного обеспечения, рассказал CyberScoop в июле, что их модель получает частичное руководство от человека на фронтенде и ручную валидацию на бэкенде, но в остальном работает автономно во время поиска ошибок.
Хотя эксперты по уязвимостям описывают такие модели, как XBOW, как более полезные для обнаружения ошибок с большим количеством ошибок и низким уровнем воздействия, компания попыталась продемонстрировать способность развивающейся модели справляться с более сложными ошибками и эксплойтами.
Автоматизированная программа для устранения тысяч несерьёзных ошибок, заполонивших интернет, при этом освобождая время операторов для устранения более сложных уязвимостей, всё равно имела бы огромную ценность. Некоторые эксперты по безопасности отмечают, что масштабные кибервторжения и многоэтапные атаки вредоносного ПО зачастую связаны не столько с эксплуатацией уязвимостей нулевого дня или высокой степени серьёзности, сколько с объединением в цепочку уязвимостей низкой и средней степени серьёзности, существующих в неисправленных системах.
Но ещё одним фактором, влияющим на эти модели, является их энергопотребление. Де Мур отметил, что, хотя XBOW исправил тысячи ошибок и получил премии и награды за свою работу, этих доходов недостаточно, чтобы покрыть все вычислительные затраты на работу XBOW за всё это время.
Вчетверг компания OpenAI выпустила новую модель искусственного интеллекта, ориентированную на безопасность, которая призвана автоматизировать поиск ошибок, их исправление и устранение.
Модель, основанная на ChatGPT-5 и получившая название Aardvark, используется внутри OpenAI и внешними партнёрами. В настоящее время она доступна только в бета-версии, доступ к которой ограничен. Она предназначена для непрерывного сканирования репозиториев исходного кода с целью поиска известных уязвимостей и ошибок, оценки и приоритизации их потенциальной серьёзности, а затем исправления и устранения.
В сообщении в блоге , опубликованном на веб-сайте компании, OpenAI утверждает, что Aardvark «не полагается на традиционные методы анализа программ, такие как фаззинг или анализ состава программного обеспечения».
«Вместо этого он использует рассуждения, основанные на LLM, и инструменты для понимания поведения кода и выявления уязвимостей», — говорится в блоге. «Aardvark ищет ошибки так же, как это делает исследователь в области человеческой безопасности: читая код, анализируя его, создавая и запуская тесты, используя инструменты и многое другое».
OpenAI утверждает, что Aardvark также может разрабатывать модели угроз на основе содержимого репозитория, а также проектировать цели и дизайн безопасности, изолировать уязвимости для проверки возможности их эксплуатации, аннотировать проблемный код и отправлять предлагаемые исправления для проверки человеком.
Компания заявила, что помимо поиска уязвимостей безопасности, Aardvark продемонстрировал способность выявлять ошибки логики и конфиденциальности в кодовых базах, а также выявил 92% известных и искусственно созданных уязвимостей в неуказанных «золотых» репозиториях. Участники сообщества разработчиков ПО с открытым исходным кодом, управляющие некоммерческими репозиториями, смогут использовать сканер бесплатно.
В сентябре компания недавно обновила свой скоординированный процесс раскрытия информации об уязвимостях, внедрив изменения, в том числе отказ от строгих сроков раскрытия информации, что, по словам OpenAI, может «оказывать давление на разработчиков», и акцент на более широкой безопасности экосистемы. Бета-версия модели в настоящее время доступна для избранных исследовательских партнёров, и OpenAI заявила, что планирует со временем расширить сферу применения инструмента по мере совершенствования возможностей обнаружения, проверки и составления отчётов.
«Выявляя уязвимости на ранних стадиях, проверяя возможность их эксплуатации в реальных условиях и предлагая понятные решения, Aardvark может усилить безопасность, не замедляя инновации», — говорится в блоге.
Выпуск Aardvark отражает стремление OpenAI использовать свою технологию для автоматизированного сканирования и устранения уязвимостей — области, в которой большие языковые модели продемонстрировали растущую перспективность и потенциал за последний год. Компания заявила, что на данный момент Aardvark выявила 10 уязвимостей, получивших записи Common Vulnerabilities and Exposure (CVE).
Другие компании, такие как стартап XBOW, за последний год смогли разработать модели безопасности на базе ИИ, которые могут оказаться на верхних строчках рейтингов по поиску уязвимостей на HackerOne и BugCrowd, работать круглосуточно и выявлять и устранять сотни уязвимостей.
Основатель XBOW Оге де Мур, ранее возглавлявший GitHub Next, подразделение компании по исследованию и разработке программного обеспечения, рассказал CyberScoop в июле, что их модель получает частичное руководство от человека на фронтенде и ручную валидацию на бэкенде, но в остальном работает автономно во время поиска ошибок.
Хотя эксперты по уязвимостям описывают такие модели, как XBOW, как более полезные для обнаружения ошибок с большим количеством ошибок и низким уровнем воздействия, компания попыталась продемонстрировать способность развивающейся модели справляться с более сложными ошибками и эксплойтами.
Автоматизированная программа для устранения тысяч несерьёзных ошибок, заполонивших интернет, при этом освобождая время операторов для устранения более сложных уязвимостей, всё равно имела бы огромную ценность. Некоторые эксперты по безопасности отмечают, что масштабные кибервторжения и многоэтапные атаки вредоносного ПО зачастую связаны не столько с эксплуатацией уязвимостей нулевого дня или высокой степени серьёзности, сколько с объединением в цепочку уязвимостей низкой и средней степени серьёзности, существующих в неисправленных системах.
Но ещё одним фактором, влияющим на эти модели, является их энергопотребление. Де Мур отметил, что, хотя XBOW исправил тысячи ошибок и получил премии и награды за свою работу, этих доходов недостаточно, чтобы покрыть все вычислительные затраты на работу XBOW за всё это время.
