GPT-5自动代码审计:首个能找漏洞写修复的AI系统
就在刚刚,OpenAI正式发布了由GPT-5驱动的“白帽”智能体——Aardvark(土豚)。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
AI编程火了大半年之后,AI调试的时代也终于来临!
就在刚刚,OpenAI正式发布了由GPT-5驱动的“白帽”智能体——Aardvark(土豚)。
这款“AI安全研究员”能够协助开发团队和安全专家,在海量代码仓库中自动发现并及时修复安全漏洞。
根据OpenAI的报告,Aardvark不仅识别出92%的已知与人工注入漏洞,还能精准定位仅在复杂条件组合下才会显现的深层问题。
OpenAI副总裁Matt Knight表示:
我们的开发人员反馈,土豚不仅能清晰解释问题根源,还能引导他们找到最佳修复方案,确实非常实用。这个信号告诉我们,我们正走在一条富有意义的道路上。
而事实上,不仅仅是OpenAI。
整个十月期间,Anthropic、谷歌、微软等巨头几乎不约而同地发布了类似的白帽智能体。
这究竟是怎么回事呢?
智能体AI+自动漏洞修补
OpenAI对这款白帽Aardvark的最新定位是——代理型安全研究员。
Aardvark的核心使命是持续分析源代码仓库,识别安全漏洞、评估可利用性、确定风险等级,并最终提供针对性的修复建议。
它通过监测代码提交与变更记录展开工作,自动标记潜在漏洞、推演攻击路径并生成修复方案。
Aardvark不依赖传统的程序分析技术(如模糊测试或软件成分分析),而是运用大语言模型驱动的推理与工具使用能力来理解代码行为,就像人类安全研究员那样阅读、分析代码、编写测试并执行验证。
具体来说,它的工作流程从Git仓库出发,依次经历:威胁建模→漏洞发现→沙箱验证→Codex修复→人工复核→提交拉取请求。
分析:对完整代码库进行全面扫描,生成反映项目安全目标与架构设计的威胁模型。
提交扫描:新代码提交时,结合仓库特征与威胁模型进行差异分析;首次连接仓库时回溯历史提交记录。同时解释发现的漏洞,在代码中进行标注,便于人工复核。
验证:一旦识别出潜在漏洞,将在隔离环境中触发验证,确认可利用性,同时说明验证步骤,确保结果准确且误报率低。
修复:Aardvark与OpenAI Codex深度集成,为漏洞生成修复补丁,附于报告中,便于一键审阅与应用。
目前,Aardvark可无缝集成GitHub、Codex及现有开发流程,在不影响开发效率的前提下提供可执行的安全洞察。
内部测试显示,它不仅能识别安全漏洞,还能发现逻辑缺陷、不完整修复及隐私风险。
更重要的是,Aardvark已在内部及合作伙伴项目中测试运行,表现亮眼,验证了其实际可用性。
正如开头提到的,它不仅能够进行深度分析、定位仅在复杂条件下出现的问题,在对“黄金测试仓库”的基准测试中,也实现了92%的识别率。
此外,Aardvark也已应用于多个开源项目,发现并负责披露了众多漏洞,其中10个已获得CVE编号。
OpenAI表示将为部分非商业开源仓库提供公益扫描服务,并提升整个开源生态与供应链的安全性。
Aardvark现已开启内测,有需要的开发者可以直接在正式渠道申请。
AI编程落幕,AI修复登场
正如开头所说,不仅是OpenAI,其他科技巨头也在积极布局智能体AI+代码安全领域。
整个十月份,谷歌、Anthropic、微软似乎心有灵犀,纷纷发布相关动作,相比之下OpenAI这次反而略显晚到。
例如,Anthropic在10月4日宣布将Claude Sonnet 4.5应用于代码安全任务。
据悉,Claude Sonnet 4.5在发现代码漏洞和其他网络安全技能方面,性能已超越Opus 4.1,而且价格更低、速度更快。
谷歌在10月6日发布了CodeMender,利用Gemini Deep Think模型,实现自主调试和漏洞修复。
微软在10月16日发布了Vuln.AI,正式宣布使用AI进行漏洞管理,而在十月的最后一天,OpenAI也悄悄来迟,跟上了这次更新的节奏。
(注:各家在发布前均进行了数月的测试和验证)
那么,为什么这些巨头都不约而同地选择在此时发力AI代码安全呢?
OpenAI以及其他公司的解释高度一致:人工调试与传统的自动化方法(如模糊测试)已经难以应对大规模代码库的漏洞发现与修复需求。
一方面,企业级网络中的设备、服务、代码库数量巨大,另一方面虽然AI技术能提高生产力,但也被用于快速寻找漏洞、生成攻击代码。
因此,在漏洞数量激增、攻击手段日益智能化的背景下,借助AI自动化发现与修复漏洞,已成为确保软件安全和降低企业风险的关键手段。
不过,大厂说归说,倒是有网友发现了华点:
我们有一个会制造安全漏洞的智能体,也有一个会修复安全漏洞的智能体,这就是最好的商业模式。
相关攻略
4月5日消息,据“上海交通大学”公众号消息,日前,米哈游联合创始人、总裁、董事长、上海交通大学2005级信息工程专业本科、2009级通信与信息系统专业硕士校友刘伟,代表米哈游创始团队蔡浩宇、罗宇皓,
据彭博社近日报道称,尽管2026年Alphabet、亚马逊、Meta和微软等科技巨头都要投入超过6,500亿美元扩展人工智能(AI),但关键电气元件可用性成为主要障碍,近50%将因电力基础设施短缺和
4月6日消息,最近两年AI发展速度越来越快,AI取代大量工作导致人类失业的说法甚嚣尘上,然而事实可能不是这样。著名风投机构创始人a16z联合创始人Marc Andreessen也是AI圈的大佬,他日
4月6日消息,今日,红果短剧发布《关于持续治理AI短剧素材违规使用行为的公告》(以下简称《公告》)。《公告》显示,今年一季度,平台已累计下架违反平台治理规范的漫剧1718部。其中,针对近期AI短剧素
4月4日消息,发布仅1天的阿里千问新模型Qwen3 6-Plus,冲上全球知名大模型API调用平台OpenRouter的日榜榜首,成为当下最受企业和开发者热捧的大模型。OpenRouter最新数据显
热门专题
热门推荐
加密货币行业翘首以盼的监管里程碑,终于有了实质性进展。美国证券交易委员会(SEC)主席保罗·阿特金斯(Paul Atkins)近日证实,那份允许加密项目在早期获得注册豁免权的“安全港”框架提案,已经正式送抵白宫,进入了最终审查阶段。 在范德堡大学与区块链协会联合举办的数字资产峰会上,阿特金斯透露了这
微策略Strategy报告:第一季录得144 6亿美元浮亏 再斥资约3 3亿美元买进4871枚比特币 市场震荡的威力有多大?看看Strategy的最新季报就明白了。根据其最新向美国证管会(SEC)提交的8-K报告,受市场剧烈波动影响,这家公司所持的比特币在第一季度录得了一笔惊人的数字——144 6亿
稳定币巨头Tether的动向,向来是加密世界的风向标。这不,它向Web3基础设施的版图扩张,又迈出了关键一步。公司执行长Paolo Ardoino在社交平台X上透露,其工程团队正在全力“烹制”一个新项目——去中心化搜索引擎 “Hypersearch”。这个消息一出,立刻引发了行业的广泛猜想。 采用D
基地位于Coinbase旗下以太坊Layer2网络Base的Seamless Protocol,日前正式宣告了服务的终结。这个曾经吸引了超过20万用户的原生DeFi借贷协议,在运营不到三年后,终究没能跑赢时间。它主打的核心产品是Integrated Leverage Markets(ILMs)——一
PAAL代币揭秘:深度解析Web3社区治理的核心钥匙 在去中心化自治组织的浪潮中,谁真正掌握了项目的话语权?PAAL代币提供了一套系统化的答案。它不仅是生态内流转的价值媒介,更是开启链上治理大门的核心凭证。通过持有并质押PAAL代币,用户能够对协议升级、资金分配乃至战略方向等关键事务投出决定性的一票