今日，OpenAI宣布推出Aardvark，一款基于GPT‑5的“代理式安全研究员”智能体，目前已开放给部分合作伙伴进入内测。

Aardvark的主要目标是帮助开发团队和安全工程师以规模化、连续化的方式发现并修补软件漏洞。考虑到每年成千上万的新漏洞出现在企业和开源代码库中，防守方面临极大压力。OpenAI表示，Aardvark旨在“倾斜这场攻防的天平”，让防守方拥有更强工具。

核心功能

仓库全量分析：Aardvark首先分析整个代码库，生成威胁模型（threatmodel），理解项目的安全目标与设计。

提交级扫描：当新的commit被推入，Aardvark会对比已建模型，扫描漏洞；首次接入时，也会追溯历史提交。

验证机制：检测到的漏洞会被送入沙箱执行验证，以确认是否真的可被利用，从而降低误报。

补丁提议：通过集成OpenAICodex，Aardvark可自动生成修补方案，并以PullRequest形式提交供人类审查。

兼容开发流程：可无缝对接GitHub、开发管道、现有工作流，旨在“安全增强”而非拖慢开发速度。

实际效果

在内部基准测试中，Aardvark在“金标准”仓库上识别了约92%的已知及人工注入漏洞，效果显著。

在开源项目中，Aardvark已发现数个漏洞，同时披露多项CVE编码。

意义与背景

随着软件成为各行业基础设施，漏洞也构成系统性风险。2024年即报告有超过40,000项CVE。

Aardvark的出现，标志着一种“防守优先”的AI模式：从被动扫描转为持续监控＋自动修补。其设计理念是，安全工具必须像开发工具一样，嵌入日常开发、不断自我运行。

目前，Aardvark处于早期内测阶段，OpenAI邀请有兴趣的组织或开源项目申请参与。未来，OpenAI还计划为部分非商业开源仓库提供免费扫描服务，以贡献软件供应链的安全。

Aardvark不只是一个新产品，而是OpenAI向“专业安全市场”迈出的关键一步。若其表现如宣传所言，它可能改变安全团队的工作方式：从人力主导走向AI辅助、从事后响应走向实时监控。安全工具的“革命”或许正在发生。（转载自：AI普瑞斯）