Aardvark dựa trên GPT-5: phát hiện 92% lỗ hổng, thiết lập chuẩn mới cho nghiên cứu bảo mật

 (aisparkup.com)
2 điểm bởi davespark 2025-10-31 | Chưa có bình luận nào. | Chia sẻ qua WhatsApp

OpenAI đã công bố 'Aardvark', một tác nhân nghiên cứu bảo mật tự động sử dụng GPT-5. Trong bối cảnh chỉ riêng năm 2024 đã có hơn 40.000 lỗ hổng mới được báo cáo, việc ứng phó chỉ với nguồn nhân lực hạn chế là có giới hạn. Aardvark phân tích và kiểm thử mã như một nhà nghiên cứu bảo mật con người, và đã phát hiện 10 CVE mới trong các dự án mã nguồn mở.

Đặc điểm chính
  • Tỷ lệ phát hiện cao: phát hiện 92% lỗ hổng đã biết và lỗ hổng tổng hợp trong benchmark kho lưu trữ 'golden', chứng minh hiệu quả thực chiến.
  • Cách tiếp cận lấy con người làm trung tâm: thay vì fuzzing hay phân tích tĩnh, công cụ dùng suy luận dựa trên LLM để hiểu mã, viết và chạy kiểm thử. Có thể bắt được cả các lỗi điều kiện phức tạp.
  • Đóng góp cho mã nguồn mở: có kế hoạch cung cấp quét miễn phí cho các kho mã nguồn mở phi thương mại, đồng thời áp dụng chính sách công bố có trách nhiệm.
Cách hoạt động (pipeline 4 bước)
  1. Phân tích (Analysis): phân tích toàn bộ kho lưu trữ để tạo mô hình đe dọa (hiểu mục đích dự án và thiết kế bảo mật).
  2. Quét commit (Commit Scanning): rà soát thay đổi và quét lịch sử hiện có. Cung cấp mô tả lỗ hổng và chú thích mã.
  3. Xác thực (Validation): thử khai thác thực tế trong sandbox, cung cấp insight với tỷ lệ dương tính giả thấp.
  4. Vá lỗi (Patching): tích hợp Codex để đề xuất bản sửa, có thể áp dụng chỉ với một cú nhấp.

Được tích hợp với GitHub và Codex, Aardvark có thể hòa nhập tự nhiên vào quy trình phát triển. Trong môi trường nội bộ của OpenAI và các đối tác, công cụ này đã phát hiện được nhiều lỗ hổng có ý nghĩa.

Bối cảnh và tác động

Vượt qua giới hạn của các công cụ truyền thống, hệ thống có thể tự động ứng phó với các lỗi xuất hiện trong 1,2% commit mã. Nó giải quyết vấn đề bất đối xứng giữa kẻ tấn công và bên phòng thủ, đồng thời phát hiện cả lỗi logic lẫn vấn đề quyền riêng tư. Việc củng cố hệ sinh thái mã nguồn mở và công bố theo hướng hợp tác sẽ nâng cao khả năng phục hồi bảo mật trong dài hạn.

Hiện công cụ đang ở giai đoạn beta riêng tư, và các tổ chức quan tâm có thể đăng ký trên website của OpenAI.

Bài viết liên quan

Chưa có bình luận nào.

Chưa có bình luận nào.