游乐游手机版
首页/科技数码/文章详情

OpenAI首次用GPT-5找Bug:全自动代码查漏洞与修复

时间:2025-10-31 12:07
AI Coding火了大半年,AI Debugging也来了! 刚刚,OpenAI发布由GPT-5驱动的“白帽”Agent——Aardvark(土豚)。 这只“AI安全研究员”能帮助开发者和

AI编程已经火热了大半年,现在该轮到AI调试登场了!

就在不久前,OpenAI正式发布了由GPT-5驱动的新一代"白帽"智能体——Aardvark(土豚)。

这位"AI安全研究员"能够协助开发团队和安全工程师,在海量代码库中自动发现并修复各类安全隐患。

根据OpenAI公布的测试数据,Aardvark成功识别出92%已知的人工注入漏洞,甚至连一些在复杂条件下才可能暴露的深层问题也逃不过它的检测。

OpenAI副总裁Matt Knight这样评价:

我们的开发人员发现,土豚能够清晰解释问题成因,并指引他们找到有效的修复方案,这种能力确实非常实用。这个信号告诉我们,我们正朝着正确的方向迈进。

而且,这场技术竞赛远不止OpenAI一家参与。

整个十月期间,Anthropic、谷歌和微软几乎是不约而同地发布了类似的白帽智能体产品。

这究竟是怎么回事?让我们一探究竟。

智能体AI+自动化漏洞修复

OpenAI将这款白帽Aardvark定位为——代理型安全研究员

它的核心职责是持续分析源代码仓库,识别安全漏洞、评估可利用性、确定风险等级,并提出针对性的修复建议。

通过监控代码提交与变更记录,它能自动识别潜在漏洞、推测攻击路径并生成修复建议。

Aardvark并非依赖传统的程序分析技术(如模糊测试或软件成分分析),而是运用大语言模型驱动的推理与工具使用能力来理解代码行为,就像人类安全研究员那样阅读、分析代码、编写测试并进行运行验证。

具体来说,它的工作流程从Git仓库出发,依次经历:威胁建模→漏洞发现→沙盒验证→Codex修复→人工复审→提交Pull Request。

分析阶段:对整个代码库进行全面扫描,生成准确反映项目安全目标与设计思路的威胁模型。

提交扫描:当有新代码提交时,结合仓库和威胁模型进行差异分析;首次连接仓库时回溯历史提交。同时对发现的漏洞进行详细说明,在代码中进行标注,方便人工审核。

验证环节:一旦识别出潜在漏洞,将在隔离环境中触发验证,确认可利用性,并清晰说明验证步骤,确保结果准确且误报率低。

修复阶段:Aardvark与OpenAI Codex深度集成,为漏洞生成修复补丁,并附于报告中,便于一键审查与应用。

目前,Aardvark已实现与GitHub、Codex及现有开发流程的无缝集成,在不影响开发效率的前提下提供可执行的安全洞察。

内部测试显示,它不仅能够识别常见的安全漏洞,还能发现逻辑缺陷、不完整修复以及隐私风险。

而且,Aardvark已在内部和合作伙伴项目中测试运行,表现出色,验证了其实际可用性。

正如开头提到的,它不仅能进行深度分析、定位复杂条件下出现的问题,在对"黄金测试仓库"的基准测试中,也实现了92%的识别准确率。

此外,Aardvark已应用于多个开源项目,发现并负责披露了众多漏洞,其中10个已获得CVE编号。

OpenAI表示将为部分非商业开源仓库提供公益扫描服务,不断提升整个开源生态与供应链的安全性。

Aardvark现已开启内测,有需要的开发者可以直接进行正式申请。

AI编程完成,AI来修复

正如开篇所说,不仅是OpenAI,其它科技巨头也在积极布局智能体AI+代码安全领域。

整个十月期间,谷歌、Anthropic和微软似乎是提前商量好了似的,纷纷发布了相关动态,OpenAI这次反而显得稍晚一步。

例如,Anthropic在10月4日宣布将Claude Sonnet 4.5应用于代码安全任务。

据悉,Claude Sonnet 4.5在发现代码漏洞和其他网络安全问题方面表现优异,性能已超越Opus 4.1,并且价格更低、响应更快。

谷歌在10月6日发布了CodeMender,利用Gemini Deep Think模型,实现自主调试和漏洞修复。

微软在10月16日发布了Vuln.AI,正式宣布使用AI进行漏洞管理,而在10月的最后一天,OpenAI也姗姗来迟,跟上了这次更新的节奏。

(注:各家在发布前均进行了数月的测试和验证)

那么,为什么这些科技巨头都不约而同地选择在此时发力AI代码安全呢?

OpenAI及其他公司的解释高度一致:人工调试与传统的自动化方法(如模糊测试)已经跟不上大规模代码库的漏洞发现与修复需求。

一方面,企业级网络中的设备、服务和代码库数量巨大,另一方面,AI技术虽然能提高生产力,但也被用于快速寻找漏洞、生成攻击代码。

因此,在漏洞数量激增、攻击手段日益智能化的背景下,借助AI自动化发现与修复漏洞,已成为确保软件安全、降低企业风险的关键手段。

不过,有意思的是,有网友发现了其中的"华点":

我们有一个会制造安全漏洞的智能体,还有一个会修复安全漏洞的智能体,这或许就是最好的商业模式。

参考链接

[1]https://x.com/OpenAI/status/1983956431360659467

[2]https://openai.com/index/introducing-aardvark/

[3]https://www.anthropic.com/research/building-ai-cyber-defenders?utm_source=c+h+a+tgpt.com

[4]https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/

[5]https://www.microsoft.com/insidetrack/blog/vuln-ai-our-ai-powered-leap-into-vulnerability-management-at-microsoft/?utm_source=c+h+a+tgpt.com

来源:https://36kr.com/p/3532412174162819
上一篇微软CEO纳德拉:130亿美元押注OpenAI带来什么回报? 下一篇宝马全球首座AI工厂:5G技术驱动智能制造新标杆
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
泰坦军团战魂KG277VPLUS双模显示器27英寸4K165Hz/520Hz仅1888元
科技数码 · 2026-07-03

泰坦军团战魂KG277VPLUS双模显示器27英寸4K165Hz/520Hz仅1888元

泰坦军团“战魂KG277VPLUS”27英寸显示器发售,支持4K165Hz与FHD520Hz双模切换,定价1888元。采用FastIPS面板,97%DCI-P3色域,配备升降支架及双HDMI2 1和双DP1 4接口。

苹果调价影响消费需求 2026年全球笔电出货量或降13.6%
科技数码 · 2026-07-03

苹果调价影响消费需求 2026年全球笔电出货量或降13.6%

迈入2026年,DRAM与NAND闪存的供应持续紧张及价格不断攀升,正逐步传导至终端消费市场。可以预见,下半年市场环境将更加严峻。上半年多家PC厂商已陆续上调产品定价,最终连苹果也不得不跟进,宣布提升iPad、Mac及家居设备的价格,以应对存储成本的快速上涨。 TrendForce分析指出,苹果全面

苹果iPhone 18 Pro自研C2芯片或不支持5G毫米波
科技数码 · 2026-07-03

苹果iPhone 18 Pro自研C2芯片或不支持5G毫米波

苹果自研C2芯片仅支持Sub-6GHz,不支持5G毫米波。因此,美版iPhone18Pro继续采用高通基带方案以支持毫米波,而其他地区版本则搭载苹果自研C2芯片。这一差异将导致在毫米波覆盖的市场中,用户峰值速率可能显著低于美版用户。

纳睿雷达推出睿宸超精细化短时临近AI气象大模型
科技数码 · 2026-07-03

纳睿雷达推出睿宸超精细化短时临近AI气象大模型

纳睿雷达近日释放了一项重磅成果。2026年7月1日,公司正式对外发布了两款自主研发的全新产品:一款是“WDSPT0152型”S波段全极化多功能有源相控阵雷达,另一款则是名为“睿宸”的超精细化短时临近AI气象大模型。从产品战略来看,此次发布直指气象监测与灾害预警领域的技术制高点。 先来看这款S波段雷达

南航国际创新港一期交付 四大专业园区打造空天产业强磁场
科技数码 · 2026-07-03

南航国际创新港一期交付 四大专业园区打造空天产业强磁场

近日,南京航空航天大学与六合区深度合作的标杆项目——南航国际创新港一期正式交付投用。两个地块陆续启用,成功串联起高校科研能量、地方产业载体与市场创新主体,为南京打造全国领先的航空航天产业创新中心、助力江苏布局商业航天全产业链,提供了坚实的物理支撑。 该创新港一期位于六合区雄州街道,分为3号和4号两个