OpenAIがGPT-5ベースの脆弱性検知ツール「Aardvark」を発表、OpenAI社内ではすでに稼働中

ソースコードリポジトリを継続的に分析して脆弱(ぜいじゃく)性の特定を行うAIエージェント「Aardvark」を、OpenAIが発表しました。人間のようにコードを「読んで」セキュリティ対策を行うツールとされています。

Aardvark Private Beta | OpenAI
https://openai.com/index/introducing-aardvark/

AardvarkはOpenAIのAIモデル「GPT-5」を搭載した自律型セキュリティ研究エージェントです。大規模言語モデルを用いた推論とツールの活用を通じてソースコードを解析し、脆弱性の特定、悪用可能性の評価、深刻度の優先順位付けを行った上で、修正の試行、テスト実行、修正パッチの提案までを行います。

Aardvarkは以下のような多段階のプロセスを経て脆弱性の特定・説明・修正を行います。

・分析：リポジトリ全体を解析し、プロジェクトのセキュリティ目標と設計を反映した脅威モデルを生成
・コミットスキャン：新規コードがコミットされる際、コミットレベルの変更をリポジトリ全体および脅威モデルに対して検査し、脆弱性をスキャン
・検証：潜在的な脆弱性の特定後、隔離されたサンドボックス環境で脆弱性を再現し、悪用可能性を確認
・パッチ適用：OpenAIのAIコーディングツール「Codex」と連携し、発見した脆弱性の修正を支援

発表時点で既にAardvarkは数カ月間稼働しており、OpenAIの内部コードと外部パートナーのコードで使用されているとのこと。OpenAI内部では重要な脆弱性を発見して防御態勢の強化に貢献し、外部パートナーでは複雑な条件下でのみ発生する問題を発見するAardvarkの能力が評価されているそうです。

Aardvarkはオープンソースプロジェクトにも適用され、OpenAIは数多くの脆弱性を発見し開示を行ってきました。そのうち10件は共通脆弱性識別子(CVE)を取得しています。加えて、OpenAIは、オープンソースソフトウェアのセキュリティ向上に貢献するため、非営利のオープンソースリポジトリを対象に無償スキャンを提供することを計画しています。

Aardvarkはプライベートベータ版が公開中で、専用フォームから利用申込を行えます。

OpenAIは「ソフトウェアセキュリティはテクノロジー分野において最も重要かつ困難な課題の一つです。毎年、企業向けおよびオープンソースのコードベースにおいて数万もの新たな脆弱性が発見されています。防御側は、攻撃者に先んじて脆弱性を発見し修正するという困難な課題に直面しています。OpenAIでは、このバランスを防御側に有利に傾ける取り組みを進めています」と述べました。