GPT-5自动代码审计：首个能找漏洞写修复的AI系统

就在刚刚，OpenAI正式发布了由GPT-5驱动的“白帽”智能体——Aardvark（土豚）。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

AI编程火了大半年之后，AI调试的时代也终于来临！

就在刚刚，OpenAI正式发布了由GPT-5驱动的“白帽”智能体——Aardvark（土豚）。

这款“AI安全研究员”能够协助开发团队和安全专家，在海量代码仓库中自动发现并及时修复安全漏洞。

根据OpenAI的报告，Aardvark不仅识别出92%的已知与人工注入漏洞，还能精准定位仅在复杂条件组合下才会显现的深层问题。

OpenAI副总裁Matt Knight表示：

我们的开发人员反馈，土豚不仅能清晰解释问题根源，还能引导他们找到最佳修复方案，确实非常实用。这个信号告诉我们，我们正走在一条富有意义的道路上。

而事实上，不仅仅是OpenAI。

整个十月期间，Anthropic、谷歌、微软等巨头几乎不约而同地发布了类似的白帽智能体。

这究竟是怎么回事呢？

智能体AI+自动漏洞修补

OpenAI对这款白帽Aardvark的最新定位是——代理型安全研究员。

Aardvark的核心使命是持续分析源代码仓库，识别安全漏洞、评估可利用性、确定风险等级，并最终提供针对性的修复建议。

它通过监测代码提交与变更记录展开工作，自动标记潜在漏洞、推演攻击路径并生成修复方案。

Aardvark不依赖传统的程序分析技术（如模糊测试或软件成分分析），而是运用大语言模型驱动的推理与工具使用能力来理解代码行为，就像人类安全研究员那样阅读、分析代码、编写测试并执行验证。

具体来说，它的工作流程从Git仓库出发，依次经历：威胁建模→漏洞发现→沙箱验证→Codex修复→人工复核→提交拉取请求。

分析：对完整代码库进行全面扫描，生成反映项目安全目标与架构设计的威胁模型。

提交扫描：新代码提交时，结合仓库特征与威胁模型进行差异分析；首次连接仓库时回溯历史提交记录。同时解释发现的漏洞，在代码中进行标注，便于人工复核。

验证：一旦识别出潜在漏洞，将在隔离环境中触发验证，确认可利用性，同时说明验证步骤，确保结果准确且误报率低。

修复：Aardvark与OpenAI Codex深度集成，为漏洞生成修复补丁，附于报告中，便于一键审阅与应用。

目前，Aardvark可无缝集成GitHub、Codex及现有开发流程，在不影响开发效率的前提下提供可执行的安全洞察。

内部测试显示，它不仅能识别安全漏洞，还能发现逻辑缺陷、不完整修复及隐私风险。

更重要的是，Aardvark已在内部及合作伙伴项目中测试运行，表现亮眼，验证了其实际可用性。

正如开头提到的，它不仅能够进行深度分析、定位仅在复杂条件下出现的问题，在对“黄金测试仓库”的基准测试中，也实现了92%的识别率。

此外，Aardvark也已应用于多个开源项目，发现并负责披露了众多漏洞，其中10个已获得CVE编号。

OpenAI表示将为部分非商业开源仓库提供公益扫描服务，并提升整个开源生态与供应链的安全性。

Aardvark现已开启内测，有需要的开发者可以直接在正式渠道申请。

AI编程落幕，AI修复登场

正如开头所说，不仅是OpenAI，其他科技巨头也在积极布局智能体AI+代码安全领域。

整个十月份，谷歌、Anthropic、微软似乎心有灵犀，纷纷发布相关动作，相比之下OpenAI这次反而略显晚到。

例如，Anthropic在10月4日宣布将Claude Sonnet 4.5应用于代码安全任务。

据悉，Claude Sonnet 4.5在发现代码漏洞和其他网络安全技能方面，性能已超越Opus 4.1，而且价格更低、速度更快。

谷歌在10月6日发布了CodeMender，利用Gemini Deep Think模型，实现自主调试和漏洞修复。

微软在10月16日发布了Vuln.AI，正式宣布使用AI进行漏洞管理，而在十月的最后一天，OpenAI也悄悄来迟，跟上了这次更新的节奏。

（注：各家在发布前均进行了数月的测试和验证）

那么，为什么这些巨头都不约而同地选择在此时发力AI代码安全呢？

OpenAI以及其他公司的解释高度一致：人工调试与传统的自动化方法（如模糊测试）已经难以应对大规模代码库的漏洞发现与修复需求。

一方面，企业级网络中的设备、服务、代码库数量巨大，另一方面虽然AI技术能提高生产力，但也被用于快速寻找漏洞、生成攻击代码。

因此，在漏洞数量激增、攻击手段日益智能化的背景下，借助AI自动化发现与修复漏洞，已成为确保软件安全和降低企业风险的关键手段。

不过，大厂说归说，倒是有网友发现了华点：

我们有一个会制造安全漏洞的智能体，也有一个会修复安全漏洞的智能体，这就是最好的商业模式。