OpenAI今日正式推出名为Aardvark的智能安全研究员，该系统基于GPT-5打造，是首个具备自主能力的AI安全研究代理。Aardvark旨在应对软件安全这一技术领域中最关键也最复杂的挑战——每年全球发现的漏洞数以万计，而防御方必须在攻击者之前发现并修复这些隐患。 Aardvark通过持续分析代码仓库，自动识别漏洞、评估可被利用性、判断严重程度，并提出精准的修复方案。它不依赖传统的模糊测试或软件成分分析技术，而是借助大语言模型的推理能力与工具调用，像人类安全研究员一样阅读代码、编写和运行测试、使用分析工具，全面理解代码行为。 Aardvark采用多阶段工作流程，能深入分析漏洞的成因与潜在攻击路径。它已集成至GitHub、Codex等开发工具中，无缝嵌入现有工作流，提供清晰、可操作的安全建议，不拖慢开发节奏。在测试中，Aardvark不仅能发现传统漏洞，还成功识别出逻辑错误、修复不完整及隐私问题等复杂缺陷。 该系统已在OpenAI内部代码库及部分外部合作方的项目中持续运行数月，有效发现多个高价值漏洞，显著提升安全防护能力。在“黄金”代码库的基准测试中，Aardvark成功识别出92%的已知及人工引入漏洞，展现出极高的召回率和实际应用价值。 Aardvark已应用于开源项目，共发现并负责任地披露了多个严重漏洞，其中10个已获得CVE编号。OpenAI承诺将回馈开源生态，未来将为部分非商业开源项目提供免费安全扫描服务。 为支持可持续协作，OpenAI更新了对外协调披露政策，强调与开发者合作、注重实际影响，而非强制时间表。随着Aardvark等工具的普及，漏洞发现数量将显著上升，因此建立高效、友好的协作机制至关重要。 软件已成为各行各业的基石，超过4万项CVE漏洞在2024年被报告，而每100次提交中约有1.2%会引入缺陷。Aardvark代表了一种“防御者优先”的新范式：在代码演进过程中提供持续保护，实现安全与创新的平衡。 目前Aardvark正处于私有内测阶段，OpenAI正邀请部分组织和开源项目参与，共同优化其检测精度、验证流程与报告体验。有意向者可通过官网申请加入。