Aardvark auf Basis von GPT-5 setzt mit 92 % Schwachstellenerkennung einen neuen Maßstab für die Sicherheitsforschung

 (aisparkup.com)
2 Punkte von davespark 2025-10-31 | Noch keine Kommentare. | Auf WhatsApp teilen

OpenAI hat den autonomen Sicherheitsforschungs-Agenten „Aardvark“ vorgestellt, der GPT-5 nutzt. In einer Lage, in der allein im Jahr 2024 mehr als 40.000 neue Schwachstellen gemeldet wurden, stößt die Reaktion mit begrenztem Personal an ihre Grenzen. Aardvark analysiert und testet Code wie menschliche Sicherheitsforscher und hat in Open-Source-Projekten bereits 10 neue CVEs entdeckt.

Hauptmerkmale
  • Hohe Erkennungsrate: Im Benchmark des „Golden“-Repositorys erkannte das System 92 % bekannter und synthetischer Schwachstellen und belegte damit seine Wirksamkeit in der Praxis.
  • Menschenzentrierter Ansatz: Statt Fuzzing oder statischer Analyse nutzt es LLM-basiertes Schlussfolgern, um Code zu verstehen sowie Tests zu schreiben und auszuführen. So werden selbst Bugs mit komplexen Bedingungen erfasst.
  • Beitrag zu Open Source: Geplant ist, nicht-kommerziellen Open-Source-Repositories kostenlose Scans bereitzustellen; dabei wird eine verantwortungsvolle Offenlegungsrichtlinie angewandt.
Funktionsweise (4-stufige Pipeline)
  1. Analyse (Analysis): Analyse des gesamten Repositorys zur Erstellung eines Bedrohungsmodells (Verständnis von Projektziel und Sicherheitsdesign).
  2. Commit-Scanning (Commit Scanning): Prüfung von Änderungen und Scannen der bisherigen Historie. Bereitstellung von Schwachstellenbeschreibungen und Code-Kommentaren.
  3. Validierung (Validation): Versuch einer tatsächlichen Ausnutzung in einer Sandbox, mit erläuternden Erkenntnissen bei geringer Falsch-Positiv-Rate.
  4. Patchen (Patching): Durch Codex-Integration werden Korrekturvorschläge gemacht, die sich per One-Click anwenden lassen.

Durch die Integration mit GitHub und Codex lässt sich das System nahtlos in Entwicklungs-Workflows einbinden. In internen Umgebungen von OpenAI und bei Partnern wurden bereits relevante Schwachstellen gefunden.

Hintergrund und Auswirkungen

Über die Grenzen traditioneller Tools hinaus ermöglicht das System eine automatische Reaktion auf Bugs, die in 1,2 % der Code-Commits enthalten sind. Es adressiert das Asymmetrieproblem zwischen Angreifern und Verteidigern und erkennt auch Logikfehler sowie Privacy-Probleme. Durch die Stärkung des Open-Source-Ökosystems und kooperative Offenlegung soll die langfristige Sicherheitsresilienz verbessert werden.

Derzeit befindet sich Aardvark in der Private Beta; interessierte Organisationen können sich über die OpenAI-Website bewerben.

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.