OpenAIは、GPT-5を搭載した自律型セキュリティ研究者「Aardvark（アーダーバーク）」の発表を発表した。Aardvarkは、ソフトウェアのセキュリティ脅威を自動で発見・修正するAIエージェントで、開発者やセキュリティチームの負担を軽減し、攻撃者より先に脆弱性を発見・対処する「防御側の優位性」を実現することを目指している。現在、プライベートベータ版として開発者やパートナー企業に提供され、実環境での検証と改善が進められている。 Aardvarkは、GitHubやCodexと連携し、コードのコミットを継続的に監視。従来のファズィングやソフトウェア構成分析に頼らず、大規模言語モデル（LLM）の推論力とツール利用能力を活用して、コードを人間のセキュリティ研究者のように読解・分析し、脆弱性の有無、攻撃の可能性、深刻度を評価。さらに、具体的な修正案を提示する。この多段階のプロセスにより、単なるバグ検出にとどまらず、論理エラー、不完全な修正、個人情報漏洩リスクなども発見可能。 内部テストでは、OpenAIのコードベースで実質的な脆弱性を発見。外部のアルファパートナーでも、複雑な条件下での問題を発見し、その分析の深さが評価された。ベンチマークテストでは、「ゴールデンリポジトリ」として知られる既知の脆弱性を92％の精度で検出。オープンソースプロジェクトへの適用では、10件の脆弱性がCVE識別子を取得され、責任ある公開が行われた。 OpenAIは、長年にわたりオープンソースコミュニティが提供した研究の恩恵を受けているため、その恩返しとして、非営利のオープンソースプロジェクトに対して無料でスキャンを提供する計画を発表。また、開発者に負担をかけない協調的発見ポリシーを更新し、迅速な公開ではなく、協働による持続可能なセキュリティ強化を重視している。 2024年には4万件以上のCVEが報告された。コードの約1.2％のコミットがバグを引き起こすというデータから、ソフトウェアの脆弱性は企業や社会全体のシステムリスクとなっている。Aardvarkは、コードの変更に合わせて継続的に保護を提供する「防御主導型」の新モデル。開発スピードを妨げず、早期発見と明確な修正案を提供することで、セキュリティとイノベーションの両立を目指す。今後、プライベートベータの参加者を募集し、より広範な環境での性能検証を進める予定。