OpenAI推出AI安全研究员Aardvark，助力自动发现与修复代码漏洞

AI编码热潮已席卷大半年，如今AI调试与安全修复领域迎来重大突破！

近日，OpenAI正式发布了由GPT-5驱动的“白帽”智能体——Aardvark（土豚）。

这只“AI安全研究员”能够协助开发者和安全团队，在庞大代码库中自动识别并修补安全漏洞。

根据OpenAI的报告，Aardvark已成功检测出92%的已知与人工注入漏洞，并能定位仅在复杂条件下显现的问题。

OpenAI副总裁Matt Knight强调：

我们的开发者反馈称，土豚在清晰解释问题并引导修复方案方面极具价值。这一信号表明，我们正朝着有意义的方向前进。

不仅如此，其他科技巨头也在跟进。

整个10月，Anthropic、谷歌和微软几乎同步推出了类似的白帽智能体。

这背后究竟有何缘由？

智能体AI与自动漏洞修补的结合

OpenAI将这款白帽Aardvark描述为——代理型安全研究员（agentic security researcher）。

Aardvark的核心使命是持续扫描源代码仓库，以发现安全漏洞、评估可 exploit 性、判定风险级别，并提供定制化修复建议。

它通过监控代码提交与变更来运作，自动识别潜在漏洞、推断攻击路径并生成修复方案。

Aardvark不依赖于传统程序分析技术（如模糊测试或软件成分分析），而是利用大语言模型驱动的推理与工具使用能力来理解代码行为，像人类安全专家一样阅读、分析代码、编写测试并进行验证。

具体工作流程从Git仓库开始，依次经历：威胁建模→漏洞发现→沙盒验证→Codex修复→人工复审→提交Pull Request。

分析阶段：对完整仓库进行全面审查，生成反映项目安全目标与设计的威胁模型。

提交扫描：当新代码提交时，结合仓库和威胁模型扫描差异；首次连接仓库时回溯历史提交。同时清晰解释发现的漏洞，在代码中标注，便于人工审核。

验证环节：一旦识别出潜在漏洞，将在隔离环境中触发以确认可利用性，并详细说明验证步骤，确保结果准确且误报率低。

修复过程：Aardvark与OpenAI Codex深度集成，为漏洞生成修复补丁，附在报告中，支持一键审阅与应用。

目前，Aardvark可无缝集成GitHub、Codex及现有开发流程，在不影响开发效率的前提下提供 actionable 的安全洞察。

内部测试显示，它不仅能识别安全漏洞，还能发现逻辑缺陷、不完整修复及隐私风险。

此外，Aardvark 已在内部和合作伙伴项目中测试运行，表现卓越，验证了其实用性。

正如前文所述，它能够进行深度分析、定位复杂条件下出现的问题，在“黄金测试仓库”基准测试中实现了92%的识别率。

同时，Aardvark也已应用于多个开源项目，发现并负责披露了众多漏洞，其中10个已获得CVE编号。

OpenAI表示将为部分非商业开源仓库提供公益扫描服务，以提升整个开源生态与供应链的安全性。

Aardvark现已开启内测，有需求的开发者可直接在官网申请。

AI编程之后，AI来修补

正如开头提到，不仅是OpenAI，其他科技巨头也在积极布局智能体AI与代码安全。

整个10月，谷歌、Anthropic、微软仿佛提前约定，纷纷发布相关动态，OpenAI这次反而略显滞后。

例如，Anthropic在10月4号宣布将Claude Sonnet 4.5应用于代码安全任务。

据悉，Claude Sonnet 4.5在发现代码漏洞和其他网络安全技能上，性能已超越Opus 4.1，并且成本更低、速度更快。

谷歌在10月6号发布了CodeMender，利用Gemini Deep Think模型，实现自主调试和漏洞修复。

微软在10月16号发布了Vuln.AI，正式宣告使用AI进行漏洞管理，而在10月最后一天，OpenAI也跟进更新节奏。

（注：各家在发布前均进行了数月的测试和验证）

那么，为何这些巨头都选择此时发力AI代码安全？

OpenAI及其他公司的解释高度一致：人工调试与传统自动化方法（如模糊测试）已无法满足大规模代码库的漏洞发现与修复需求。

一方面，企业级网络中设备、服务、代码库数量激增；另一方面，AI技术虽提升生产力，但也被用于快速寻找漏洞、生成攻击代码。

因此，在漏洞数量飙升、攻击手段日益智能化的背景下，借助AI自动化发现与修复漏洞，已成为确保软件安全和降低企业风险的关键举措。

不过，有网友发现了有趣之处：

我们有一个会制造安全漏洞的智能体，也有一个会修复安全漏洞的智能体，这就是最好的商业模式。

参考链接

[1]https://x.com/OpenAI/status/1983956431360659467

[2]https://openai.com/index/introducing-aardvark/

[3]https://www.anthropic.com/research/building-ai-cyber-defenders?utm_source=chatgpt.com

[4]https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/

[5]https://www.microsoft.com/insidetrack/blog/vuln-ai-our-ai-powered-leap-into-vulnerability-management-at-microsoft/?utm_source=chatgpt.com