OpenAI از Aardvark رونمایی کرد: عامل مبتنی بر GPT-5 برای شناسایی و پچ خودکار نقص‌های کد!

شرکت OpenAI از معرفی یک عامل امنیتی هوشمند (Agentic Security Researcher) خبر داده که با استفاده از مدل زبانی بزرگ GPT-5 ساخته شده و مانند یک پژوهشگر انسانی قادر است کد را اسکن، تحلیل و به‌صورت خودکار پچ (Patch) کند.

این عامل با نام Aardvark طراحی شده تا به توسعه‌دهندگان و تیم‌های امنیت سایبری کمک کند تا در مقیاس وسیع، آسیب‌پذیری‌ها را شناسایی و رفع کنند.
Aardvark در حال حاضر در نسخه بتای خصوصی (Private Beta) در دسترس است.

OpenAI اعلام کرده:

«Aardvark به‌طور پیوسته مخازن کد منبع برای شناسایی  آسیب‌پذیری‌ها تحلیل می‌کند، میزان exploitability را ارزیابی، شدت آن‌ها را اولویت‌بندی و پچ‌های هدفمند پیشنهاد دهد.»

این ابزار با اتصال مستقیم به چرخه توسعه نرم‌افزار (SDLC) و مانیتور تغییرات در codebase، آسیب‌پذیری‌ها و نحوه exploit شدن آن‌ها را شناسایی کرده و با استفاده از استدلال مبتنی بر LLM راه‌حل‌هایی برای رفعشان ارائه می‌دهد.

بر پایه GPT-5

Aardvark توسط GPT-5 پشتیبانی می‌شود؛ مدلی که در آگوست ۲۰۲۵ معرفی شد و به‌گفته OpenAI، دارای قابلیت استدلال عمیق‌تر (Deeper Reasoning) و یک سیستم هوشمند Real-Time Router است که بسته به نوع گفتگو و پیچیدگی، مدل مناسب را انتخاب می‌کند.

Aardvark کد پروژه را تحلیل کرده و یک Threat Model متناسب با اهداف امنیتی آن ایجاد می‌کند. سپس با بررسی تاریخچه مخزن، آسیب‌پذیری‌های موجود را یافته و در ادامه تغییرات جدید را نیز تحلیل می‌کند تا تهدیدهای تازه را به‌موقع شناسایی کند.

در صورت شناسایی یک نقص امنیتی، Aardvark آن را در یک محیط ایزوله (Sandboxed) فعال‌سازی کرده تا میزان exploitability آن را تأیید کند و سپس با استفاده از OpenAI Codex پچی تولید می‌کند که می‌تواند توسط تحلیلگران انسانی بازبینی شود.

نتایج اولیه و رقابت با سایر ابزارهای هوش مصنوعی امنیتی

به‌گفته OpenAI، این عامل در کدهای داخلی این شرکت و همچنین در برخی پروژه‌های آلفا پارتنرها استفاده شده و تاکنون توانسته حداقل ۱۰ آسیب‌پذیری CVE را در پروژه‌های متن‌باز شناسایی کند.

OpenAI تنها بازیگر این حوزه نیست. در اوایل اکتبر، شرکت Google از ابزاری مشابه با نام CodeMender رونمایی کرد که قادر است کدهای آسیب‌پذیر را شناسایی، پچ و بازنویسی کند تا از exploitهای آینده جلوگیری شود. گوگل همچنین اعلام کرده قصد دارد با توسعه‌دهندگان پروژه‌های متن‌باز حیاتی همکاری کند تا پچ‌های تولیدشده توسط CodeMender را در پروژه‌هایشان ادغام کند.

در همین مسیر، ابزارهایی مانند Aardvark، CodeMender و XBOW نسل جدیدی از سیستم‌های تحلیل مداوم کد (Continuous Code Analysis)، تأیید exploit و تولید patch خودکار را شکل می‌دهند.

مدل جدید دفاع سایبری

OpenAI در بیانیه‌ای گفت:

«Aardvark نمایانگر یک مدل جدید دفاع‌محور است: یک پژوهشگر امنیتی ماشینی که با تیم‌های توسعه همکاری می‌کند و همزمان با رشد کد، امنیت را به‌صورت مستمر تضمین می‌کند. با شناسایی زودهنگام آسیب‌پذیری‌ها، اعتبارسنجی exploitهای واقعی و ارائه راه‌حل‌های واضح، Aardvark می‌تواند امنیت را بدون کند کردن لایه کسب و کار، تقویت کند.»

این تحول، گامی مهم به‌سوی ادغام هوش مصنوعی در امنیت کد است؛ جایی که عامل‌های هوشمند می‌توانند نقش یک Defender هوش‌محور را در تیم‌های امنیت سایبری آینده ایفا کنند.