Aardvark berbasis GPT-5 menetapkan standar baru riset keamanan dengan deteksi 92% kerentanan

OpenAI memperkenalkan agen riset keamanan otonom 'Aardvark' yang memanfaatkan GPT-5. Di tengah situasi ketika lebih dari 40 ribu kerentanan baru dilaporkan hanya sepanjang tahun 2024, respons hanya dengan tenaga terbatas memiliki batas yang jelas. Aardvark menganalisis dan menguji kode seperti peneliti keamanan manusia, dan telah menemukan 10 CVE baru di proyek open source.

Fitur utama

• Tingkat deteksi tinggi: Pada benchmark repositori 'golden', mendeteksi 92% kerentanan yang diketahui maupun sintetis, membuktikan efektivitas di dunia nyata.
• Pendekatan berpusat pada manusia: Alih-alih fuzzing atau analisis statis, sistem ini memahami kode melalui penalaran berbasis LLM, lalu menulis dan menjalankan pengujian. Bahkan bug dengan kondisi kompleks pun dapat ditangkap.
• Kontribusi open source: Berencana menyediakan pemindaian gratis untuk repositori open source nonkomersial, dengan kebijakan pengungkapan yang bertanggung jawab.

Cara kerja (pipeline 4 tahap)

1. Analisis (Analysis): Menganalisis seluruh repositori untuk membuat model ancaman (memahami tujuan proyek dan desain keamanannya).
2. Pemindaian commit (Commit Scanning): Meninjau perubahan dan memindai riwayat yang ada. Menyediakan penjelasan kerentanan dan komentar kode.
3. Validasi (Validation): Mencoba eksploitasi nyata di sandbox dan menjelaskan insight dengan tingkat false positive yang rendah.
4. Patch (Patching): Dengan integrasi Codex, sistem dapat mengusulkan perbaikan yang bisa diterapkan dengan satu klik.

Terintegrasi dengan GitHub dan Codex, sehingga dapat masuk secara alami ke dalam workflow pengembangan. Di lingkungan internal OpenAI dan mitra, sistem ini sudah menemukan kerentanan yang bermakna.

Latar belakang dan dampak

Melampaui keterbatasan alat tradisional, sistem ini dapat merespons otomatis bug yang terkandung dalam 1,2% commit kode. Ini membantu mengatasi masalah asimetri penyerang-pertahan dan juga mendeteksi cacat logika serta isu privasi. Penguatan ekosistem open source dan pengungkapan kolaboratif diharapkan meningkatkan ketahanan keamanan jangka panjang.

Saat ini masih dalam tahap private beta, dan organisasi yang tertarik dapat mendaftar melalui situs web OpenAI.