OpenAI đã công bố ra mắt một "nhà nghiên cứu bảo mật đặc vụ" được hỗ trợ bởi mô hình ngôn ngữ lớn (LLM) GPT-5 của họ và được lập trình để mô phỏng một chuyên gia con người có khả năng quét, hiểu và vá lỗi code.
Được gọi là Aardvark, công ty trí tuệ nhân tạo (AI) này cho biết đặc vụ tự hành được thiết kế để giúp các nhà phát triển và đội ngũ bảo mật phát hiện và khắc phục các lỗ hổng bảo mật trên quy mô lớn. Nó hiện đang có sẵn trong phiên bản beta riêng tư.
"Aardvark liên tục phân tích các kho lưu trữ mã nguồn để xác định các lỗ hổng, đánh giá khả năng exploit, ưu tiên mức độ nghiêm trọng và đề xuất các bản vá lỗi cụ thể," OpenAI lưu ý.
Nó hoạt động bằng cách tích hợp vào quy trình phát triển phần mềm, giám sát các commit và thay đổi đối với codebase, phát hiện các vấn đề bảo mật và cách chúng có thể bị exploit, đồng thời đề xuất các bản sửa lỗi để giải quyết chúng bằng cách sử dụng suy luận dựa trên LLM và công cụ.
GPT-5 và cách Aardvark hoạt động
Hỗ trợ cho đặc vụ này là GPT‑5, mà OpenAI đã giới thiệu vào tháng 8 năm 2025. Công ty mô tả nó là một "mô hình thông minh, hiệu quả" với khả năng suy luận sâu hơn, nhờ vào tư duy GPT‑5, và một "bộ định tuyến thời gian thực" để quyết định mô hình phù hợp để sử dụng dựa trên loại hội thoại, độ phức tạp và ý định của người dùng.
Aardvark, OpenAI bổ sung, phân tích codebase của một dự án để tạo ra một threat model mà nó cho rằng thể hiện tốt nhất các mục tiêu và thiết kế bảo mật của dự án. Với nền tảng ngữ cảnh này, đặc vụ sau đó quét lịch sử của mình để xác định các vấn đề hiện có, cũng như phát hiện các vấn đề mới bằng cách xem xét kỹ lưỡng các thay đổi đến kho lưu trữ.
Khi một lỗi bảo mật tiềm ẩn được tìm thấy, nó sẽ cố gắng kích hoạt lỗi đó trong một môi trường cô lập, sandboxed để xác nhận khả năng exploit và tận dụng OpenAI Codex, đặc vụ mã hóa của họ, để tạo ra một bản vá mà một nhà phân tích con người có thể xem xét.
OpenAI cho biết họ đã chạy đặc vụ này trên các codebase nội bộ của OpenAI và một số đối tác alpha bên ngoài, đồng thời nó đã giúp xác định ít nhất 10 CVE trong các dự án mã nguồn mở.
Cạnh tranh trong phát hiện lỗ hổng tự động
Công ty AI mới nổi này không phải là công ty duy nhất thử nghiệm các đặc vụ AI để giải quyết việc phát hiện và vá lỗi lỗ hổng tự động. Đầu tháng này, Google đã công bố CodeMender, mà họ cho biết có khả năng phát hiện, vá lỗi và viết lại code dễ bị tổn thương để ngăn chặn các exploit trong tương lai. Gã khổng lồ công nghệ này cũng lưu ý rằng họ có ý định làm việc với những người duy trì các dự án mã nguồn mở quan trọng để tích hợp các bản vá do CodeMender tạo ra nhằm giúp giữ an toàn cho các dự án.
Xét về mặt đó, Aardvark, CodeMender và XBOW đang được định vị là các công cụ để phân tích code liên tục, xác thực exploit và tạo bản vá. Nó cũng ra mắt ngay sau khi OpenAI phát hành các mô hình gpt-oss-safeguard được tinh chỉnh cho các tác vụ phân loại an toàn.
"Aardvark đại diện cho một mô hình ưu tiên người bảo vệ mới: một nhà nghiên cứu bảo mật đặc vụ hợp tác với các đội ngũ bằng cách cung cấp sự bảo vệ liên tục khi code phát triển," OpenAI cho biết. "Bằng cách phát hiện sớm các lỗ hổng, xác thực khả năng exploit trong thế giới thực và đưa ra các bản sửa lỗi rõ ràng, Aardvark có thể tăng cường bảo mật mà không làm chậm đổi mới. Chúng tôi tin vào việc mở rộng quyền tiếp cận với chuyên môn bảo mật."
