Aardvark baseado em GPT-5 estabelece novo padrão em pesquisa de segurança ao detectar 92% das vulnerabilidades

 (aisparkup.com)
2 pontos por davespark 2025-10-31 | Ainda não há comentários. | Compartilhar no WhatsApp

A OpenAI apresentou o 'Aardvark', um agente autônomo de pesquisa de segurança que usa o GPT-5. Em um cenário em que mais de 40 mil novas vulnerabilidades foram reportadas apenas em 2024, há um limite para a resposta possível com equipes reduzidas. O Aardvark analisa e testa código como um pesquisador humano de segurança e já encontrou 10 novos CVEs em projetos open source.

Principais características
  • Alta taxa de detecção: no benchmark do repositório 'golden', detectou 92% das vulnerabilidades conhecidas e sintéticas, comprovando eficácia em cenários reais.
  • Abordagem centrada no humano: em vez de fuzzing ou análise estática, usa raciocínio baseado em LLM para entender o código, escrever e executar testes. Consegue capturar até bugs com condições complexas.
  • Contribuição ao open source: planeja oferecer varredura gratuita para repositórios open source não comerciais e adota uma política de divulgação responsável.
Como funciona (pipeline em 4 etapas)
  1. Análise (Analysis): analisa todo o repositório para criar um modelo de ameaças (entendendo o propósito do projeto e sua arquitetura de segurança).
  2. Varredura de commits (Commit Scanning): revisa mudanças e faz varredura do histórico existente. Fornece descrição das vulnerabilidades e comentários no código.
  3. Validação (Validation): tenta a exploração real em sandbox e explica insights com baixa taxa de falsos positivos.
  4. Correção (Patching): com integração ao Codex, sugere correções que podem ser aplicadas com um clique.

Integrado ao GitHub e ao Codex, entra de forma natural no fluxo de trabalho de desenvolvimento. Já encontrou vulnerabilidades relevantes em ambientes internos da OpenAI e de parceiros.

Contexto e impacto

Superando as limitações das ferramentas tradicionais, responde automaticamente a bugs presentes em 1,2% dos commits de código. Enfrenta o problema da assimetria entre atacantes e defensores e detecta até falhas de lógica e questões de privacidade. Ao fortalecer o ecossistema open source e promover divulgação colaborativa, aumenta a resiliência de segurança no longo prazo.

Atualmente está em beta privado, e organizações interessadas podem se inscrever pelo site da OpenAI.

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.