OpenAI、GPT-5搭載のサイバーセキュリティエージェント「Aardvark」発表
OpenAIは、サイバーセキュリティ研究エージェント「Aardvark」を発表した。GPT-5を搭載し、ソースコードを継続的に分析して脆弱性の特定、評価、パッチ提案までを自律的に行う。プライベートβ版として提供を開始した。
米OpenAIは10月30日(現地時間)、自律型サイバーセキュリティ研究用エージェント「Aardvark」を発表した。GPT-5を搭載しており、現代のソフトウェア開発の要求に応える規模での対応を可能にすることを目指しているという。
ソフトウェアセキュリティは困難な課題の1つと見なされており、毎年数万件の新規脆弱性が発見されている。OpenAIは、コードが進化するにつれて継続的な保護を提供することで、防御側を有利にする新しいモデルを提供し、社会に対するシステミックリスクとなっているソフトウェアの脆弱性に対処することを目指すとしている。
Aardvarkは、継続的にソースコードリポジトリを分析し、脆弱性の特定、悪用可能性の評価、深刻度の優先順位付け、的を絞ったパッチの提案を行う。従来のプログラム分析手法(ファジングやソフトウェア構成分析など)に依存するのではなく、LLMを活用した推論とツール使用を通じてコードの挙動を理解し、脆弱性を特定する。
その仕組みは、多段階のパイプラインに依存しており、まずリポジトリ全体を分析して脅威モデルを作成し、次に新しいコードがコミットされる際にコミットレベルの変更をスキャンする。潜在的な脆弱性を特定した後、隔離されたサンドボックス環境でそれをトリガーして悪用可能性を確認し、最後にCodexと統合して、発見された脆弱性を修正するためのパッチを生成・添付し、人間のレビューと効率的なワンクリックパッチ適用を可能にする。
OpenAIは、AardvarkがGitHubやCodex、既存のワークフローと統合し、開発の速度を落とすことなく、明確で実用的な洞察を提供するとしている。
OpenAIの内部コードベースや外部のアルファパートナーのコードベースで数カ月間稼働しており、複雑な条件下でのみ発生する問題を見つけるなど、分析の深さが評価されているという。
Aardvarkは現在、プライベートβ版として提供されており、提供対象として、組織やオープンソースプロジェクトが参加を申し込める。
なお、選定された非営利のオープンソースリポジトリに対し、プロボノのスキャンを提供することを計画している。β版の提供を通じて学習を進めながら、利用可能性を広げていく方針だ。
OpenAIは新エージェントの名称の語源について説明していないが、aardvarkはツチブタという意味だ。鋭い嗅覚で土の中のシロアリなどを掘り起こして主食とする哺乳類だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“ブラウザを自律操作するAI”が暴走 「要約して」と入力しただけなのにパスワードが盗まれた その手口とは?
Braveブラウザを手掛ける米Brave Softwareは他社のエージェント型ブラウザの脆弱性を見つけたと発表した。脆弱性が見つかったのは、米Perplexityが提供する「Comet」だ。
初のゼロクリックAI脆弱性「EchoLeak」、Microsoftの「Copilot」の脆弱性で(修正済み)
セキュリティ企業のAim Labsが、「Microsoft 365 Copilot」に初のゼロクリックAI脆弱性「EchoLeak」を発見したと発表した。ユーザー操作なしに悪意あるメール経由で機密情報が流出する可能性があった。この脆弱性は「LLMスコープ違反」と名付けられ、Microsoftにより修正済みだ。
OpenAIのコーディングエージェント「Codex」、ChatGPT Plusでも利用可能に ネットアクセスにも対応
米OpenAIは、AIベースのコーディングエージェント「Codex」を、ChatGPT Plusユーザーも利用できるようにした。
OpenAI、エージェント構築向け開発者ツール(APIとSDK)をリリース
OpenAIは、開発者や企業が独自エージェントを構築するための「Responses API」と「Agents SDK」をリリースした。