OpenAI首次用GPT-5找Bug：全自动代码查漏洞与修复

AI编程已经火热了大半年，现在该轮到AI调试登场了！

就在不久前，OpenAI正式发布了由GPT-5驱动的新一代"白帽"智能体——Aardvark（土豚）。

这位"AI安全研究员"能够协助开发团队和安全工程师，在海量代码库中自动发现并修复各类安全隐患。

根据OpenAI公布的测试数据，Aardvark成功识别出92%已知的人工注入漏洞，甚至连一些在复杂条件下才可能暴露的深层问题也逃不过它的检测。

OpenAI副总裁Matt Knight这样评价：

我们的开发人员发现，土豚能够清晰解释问题成因，并指引他们找到有效的修复方案，这种能力确实非常实用。这个信号告诉我们，我们正朝着正确的方向迈进。

而且，这场技术竞赛远不止OpenAI一家参与。

整个十月期间，Anthropic、谷歌和微软几乎是不约而同地发布了类似的白帽智能体产品。

这究竟是怎么回事？让我们一探究竟。

智能体AI+自动化漏洞修复

OpenAI将这款白帽Aardvark定位为——代理型安全研究员

它的核心职责是持续分析源代码仓库，识别安全漏洞、评估可利用性、确定风险等级，并提出针对性的修复建议。

通过监控代码提交与变更记录，它能自动识别潜在漏洞、推测攻击路径并生成修复建议。

Aardvark并非依赖传统的程序分析技术（如模糊测试或软件成分分析），而是运用大语言模型驱动的推理与工具使用能力来理解代码行为，就像人类安全研究员那样阅读、分析代码、编写测试并进行运行验证。

具体来说，它的工作流程从Git仓库出发，依次经历：威胁建模→漏洞发现→沙盒验证→Codex修复→人工复审→提交Pull Request。

分析阶段：对整个代码库进行全面扫描，生成准确反映项目安全目标与设计思路的威胁模型。

提交扫描：当有新代码提交时，结合仓库和威胁模型进行差异分析；首次连接仓库时回溯历史提交。同时对发现的漏洞进行详细说明，在代码中进行标注，方便人工审核。

验证环节：一旦识别出潜在漏洞，将在隔离环境中触发验证，确认可利用性，并清晰说明验证步骤，确保结果准确且误报率低。

修复阶段：Aardvark与OpenAI Codex深度集成，为漏洞生成修复补丁，并附于报告中，便于一键审查与应用。

目前，Aardvark已实现与GitHub、Codex及现有开发流程的无缝集成，在不影响开发效率的前提下提供可执行的安全洞察。

内部测试显示，它不仅能够识别常见的安全漏洞，还能发现逻辑缺陷、不完整修复以及隐私风险。

而且，Aardvark已在内部和合作伙伴项目中测试运行，表现出色，验证了其实际可用性。

正如开头提到的，它不仅能进行深度分析、定位复杂条件下出现的问题，在对"黄金测试仓库"的基准测试中，也实现了92%的识别准确率。

此外，Aardvark已应用于多个开源项目，发现并负责披露了众多漏洞，其中10个已获得CVE编号。

OpenAI表示将为部分非商业开源仓库提供公益扫描服务，不断提升整个开源生态与供应链的安全性。

Aardvark现已开启内测，有需要的开发者可以直接进行正式申请。

AI编程完成，AI来修复

正如开篇所说，不仅是OpenAI，其它科技巨头也在积极布局智能体AI+代码安全领域。

整个十月期间，谷歌、Anthropic和微软似乎是提前商量好了似的，纷纷发布了相关动态，OpenAI这次反而显得稍晚一步。

例如，Anthropic在10月4日宣布将Claude Sonnet 4.5应用于代码安全任务。

据悉，Claude Sonnet 4.5在发现代码漏洞和其他网络安全问题方面表现优异，性能已超越Opus 4.1，并且价格更低、响应更快。

谷歌在10月6日发布了CodeMender，利用Gemini Deep Think模型，实现自主调试和漏洞修复。

微软在10月16日发布了Vuln.AI，正式宣布使用AI进行漏洞管理，而在10月的最后一天，OpenAI也姗姗来迟，跟上了这次更新的节奏。

（注：各家在发布前均进行了数月的测试和验证）

那么，为什么这些科技巨头都不约而同地选择在此时发力AI代码安全呢？

OpenAI及其他公司的解释高度一致：人工调试与传统的自动化方法（如模糊测试）已经跟不上大规模代码库的漏洞发现与修复需求。

一方面，企业级网络中的设备、服务和代码库数量巨大，另一方面，AI技术虽然能提高生产力，但也被用于快速寻找漏洞、生成攻击代码。

因此，在漏洞数量激增、攻击手段日益智能化的背景下，借助AI自动化发现与修复漏洞，已成为确保软件安全、降低企业风险的关键手段。

不过，有意思的是，有网友发现了其中的"华点"：

我们有一个会制造安全漏洞的智能体，还有一个会修复安全漏洞的智能体，这或许就是最好的商业模式。

参考链接

[1]https://x.com/OpenAI/status/1983956431360659467

[2]https://openai.com/index/introducing-aardvark/

[3]https://www.anthropic.com/research/building-ai-cyber-defenders?utm_source=c+h+a+tgpt.com

[4]https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/

[5]https://www.microsoft.com/insidetrack/blog/vuln-ai-our-ai-powered-leap-into-vulnerability-management-at-microsoft/?utm_source=c+h+a+tgpt.com

免责声明

游乐网为非赢利性网站，所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系youleyoucom@outlook.com。

同类文章