OpenAI、GPT-5搭載のサイバーセキュリティエージェント「Aardvark」発表

[ITmedia]

　米OpenAIは10月30日（現地時間）、自律型サイバーセキュリティ研究用エージェント「Aardvark」を発表した。GPT-5を搭載しており、現代のソフトウェア開発の要求に応える規模での対応を可能にすることを目指しているという。

　ソフトウェアセキュリティは困難な課題の1つと見なされており、毎年数万件の新規脆弱性が発見されている。OpenAIは、コードが進化するにつれて継続的な保護を提供することで、防御側を有利にする新しいモデルを提供し、社会に対するシステミックリスクとなっているソフトウェアの脆弱性に対処することを目指すとしている。

　Aardvarkは、継続的にソースコードリポジトリを分析し、脆弱性の特定、悪用可能性の評価、深刻度の優先順位付け、的を絞ったパッチの提案を行う。従来のプログラム分析手法（ファジングやソフトウェア構成分析など）に依存するのではなく、LLMを活用した推論とツール使用を通じてコードの挙動を理解し、脆弱性を特定する。

　その仕組みは、多段階のパイプラインに依存しており、まずリポジトリ全体を分析して脅威モデルを作成し、次に新しいコードがコミットされる際にコミットレベルの変更をスキャンする。潜在的な脆弱性を特定した後、隔離されたサンドボックス環境でそれをトリガーして悪用可能性を確認し、最後にCodexと統合して、発見された脆弱性を修正するためのパッチを生成・添付し、人間のレビューと効率的なワンクリックパッチ適用を可能にする。

Aardvarkの概要（画像：OpenAI）

　OpenAIは、AardvarkがGitHubやCodex、既存のワークフローと統合し、開発の速度を落とすことなく、明確で実用的な洞察を提供するとしている。

　OpenAIの内部コードベースや外部のアルファパートナーのコードベースで数カ月間稼働しており、複雑な条件下でのみ発生する問題を見つけるなど、分析の深さが評価されているという。

　Aardvarkは現在、プライベートβ版として提供されており、提供対象として、組織やオープンソースプロジェクトが参加を申し込める。

　なお、選定された非営利のオープンソースリポジトリに対し、プロボノのスキャンを提供することを計画している。β版の提供を通じて学習を進めながら、利用可能性を広げていく方針だ。

　OpenAIは新エージェントの名称の語源について説明していないが、aardvarkはツチブタという意味だ。鋭い嗅覚で土の中のシロアリなどを掘り起こして主食とする哺乳類だ。