OpenAI hat Aardvark vorgestellt, einen agentenbasierten Sicherheitsforscher, der auf GPT-5 basiert und darauf abzielt, die Sicherheit von Software auf einer neuen Ebene zu revolutionieren. In einer Zeit, in der jährlich Zehntausende neue Schwachstellen in Unternehmens- und Open-Source-Codebasen entdeckt werden, steht die Sicherheitstechnologie vor einer immensen Herausforderung: die Identifizierung und Behebung von Lücken, bevor Angreifer sie ausnutzen können. Aardvark soll diesen Balanceakt zugunsten der Verteidiger verschieben. Im Gegensatz zu traditionellen Methoden wie Fuzzing oder Software-Composition-Analysis nutzt Aardvark künstliche Intelligenz mit Sprachmodellen, um Code wie ein menschlicher Sicherheitsforscher zu analysieren – durch Lesen, Testen, Werkzeugnutzung und logische Deduktion. Der Agent arbeitet kontinuierlich an Quellcode-Repositories, erkennt Schwachstellen, bewertet deren Ausnutzbarkeit, priorisiert die Schwere und schlägt gezielte Patches vor. Er integriert sich nahtlos in bestehende Entwicklungsworkflows über GitHub und Codex, ohne die Entwicklung zu verlangsamen. Aardvark folgt einem mehrstufigen Prozess: Er überwacht Commits, identifiziert potenzielle Fehler, simuliert Angriffsszenarien und liefert klare, handlungsorientierte Empfehlungen. In internen Tests bei OpenAI und bei ausgewählten Alpha-Partnern hat Aardvark bereits bedeutende Schwachstellen aufgedeckt, darunter solche, die nur unter komplexen Bedingungen auftreten. In Benchmark-Tests an „golden“-Repositories erkannte er 92 % der bekannten und künstlich eingefügten Schwachstellen – ein Indiz für hohe Erkennungsrate und praktische Relevanz. Zudem hat Aardvark in Open-Source-Projekten zahlreiche Sicherheitslücken entdeckt, zehn davon erhielten offizielle CVE-IDs. OpenAI verpflichtet sich, diese Erkenntnisse verantwortungsvoll zu veröffentlichen und wird ab sofort pro-bono-Scans für ausgewählte nicht-kommerzielle Open-Source-Projekte anbieten, um die Sicherheit der gesamten Software-Lieferkette zu stärken. Die neue Koordinierte-Entdeckungsrichtlinie von OpenAI setzt auf Zusammenarbeit statt starre Fristen, um Entwickler nicht unter Druck zu setzen. Mit Aardvark erwartet man eine steigende Zahl an Funden – und will dies nachhaltig und kooperativ bewältigen. Software ist heute die Grundlage fast aller Industrien, und mit über 40.000 CVEs im Jahr 2024 ist die Bedrohung systemisch. Studien zeigen, dass bereits 1,2 % aller Commits Fehler einführen – oft mit gravierenden Folgen. Aardvark steht für einen „defender-first“-Ansatz: eine kontinuierliche, agente-basierte Sicherheitsüberwachung, die Sicherheit ohne Innovationsverzögerung ermöglicht. Industrieexperten begrüßen Aardvark als Meilenstein in der automatisierten Sicherheitsforschung. Experten betonen, dass die Kombination aus LLM-basierter Reasoning und praktischer Werkzeugnutzung einen Sprung vorwärts darstellt. OpenAI positioniert sich damit nicht nur als Technologieanbieter, sondern als Mitgestalter einer sichereren digitalen Infrastruktur. Die private Beta ist zunächst auf ausgewählte Partner beschränkt, die direkt mit dem Team zusammenarbeiten, um Genauigkeit, Validierung und Benutzererfahrung weiter zu optimieren. Interessierte Organisationen können sich über einen Link bewerben, um frühzeitig Zugang zu erhalten.