Door GPT-5 aangedreven AI-agent spoort autonoom beveiligingskwetsbaarheden op
OpenAI heeft Aardvark gelanceerd, een autonome security-onderzoeksagent aangedreven door GPT-5. De agent kan op schaal softwarekwetsbaarheden ontdekken, valideren en helpen oplossen. De tool, die nu beschikbaar is in private bèta, vertegenwoordigt een belangrijke doorbraak in de toepassing van agentic AI op cybersecurity-uitdagingen.
Hoe werkt Aardvark?
In tegenstelling tot traditionele security-tools die vertrouwen op fuzzing of statische analyse, benadert Aardvark code als een menselijke security-onderzoeker. De agent gebruikt redenering op basis van LLM’s om code te lezen, gedrag te analyseren, tests te schrijven en uit te voeren, en potentiële exploits te identificeren via een pipeline die uit meerdere fasen bestaat.
Het systeem begint met het analyseren van een volledige code-repository om een threat model op te stellen dat de beveiligingsdoelstellingen en het ontwerp van het project weerspiegelt. Vervolgens scant het continu wijzigingen op commit-niveau aan de hand van dit model, waarbij kwetsbaarheden worden geïdentificeerd zodra nieuwe code wordt toegevoegd. Wanneer een repository voor het eerst wordt gekoppeld, scant Aardvark de volledige geschiedenis om bestaande problemen bloot te leggen.
Validatie en patching
Wanneer Aardvark een potentiële kwetsbaarheid identificeert, probeert het de exploit te activeren in een geïsoleerde sandbox-omgeving om de uitvoerbaarheid te bevestigen. Deze validatiestap minimaliseert de false positives die ontwikkelteams doorgaans plagen. De agent integreert vervolgens met OpenAI Codex om gerichte patches te genereren, waardoor developers kant-en-klare oplossingen krijgen die met één klik kunnen worden toegepast.
Prestaties en impact
In benchmarktests op repositories met bekende kwetsbaarheden identificeerde Aardvark 92% van zowel bekende als synthetisch geïntroduceerde beveiligingsfouten. De agent draait al enkele maanden continu op de interne codebases van OpenAI en heeft daarbij betekenisvolle kwetsbaarheden naar boven gehaald, inclusief problemen die alleen optreden onder complexe omstandigheden.
Aardvark is ook toegepast op open-source projecten, waar het talloze kwetsbaarheden heeft ontdekt en verantwoordelijk heeft gemeld (responsible disclosure), waarvan er tien officiële CVE-identificaties hebben ontvangen. Naast traditionele beveiligingsproblemen heeft de tool logische fouten, onvolledige fixes en privacyproblemen aan het licht gebracht.
Een groeiend probleem aanpakken
Softwarekwetsbaarheden vormen een systemisch risico voor alle sectoren, met meer dan 40.000 gerapporteerde CVE’s alleen al in 2024. Tests van OpenAI tonen aan dat ongeveer 1,2% van de commits bugs introduceert: kleine wijzigingen die grote gevolgen kunnen hebben.
Matt Knight, Vice President bij OpenAI, merkte op dat developers vooral waarde hechten aan hoe Aardvark problemen uitlegt en hen naar oplossingen begeleidt, wat de betekenisvolle impact van de agent onderstreept.
Vernieuwd disclosure-beleid
OpenAI heeft zijn beleid voor gecoördineerde openbaarmaking (coordinated disclosure policy) herzien voor een meer samenwerkingsgerichte, developer-vriendelijke aanpak. In plaats van starre tijdlijnen voor openbaarmaking op te leggen die developers onder druk kunnen zetten, richt het bedrijf zich op duurzame samenwerking om beveiligingsweerbaarheid op de lange termijn te bereiken.
Private bèta en toewijding aan open source
De private bèta is momenteel geopend voor geselecteerde partners die GitHub Cloud gebruiken, waarbij OpenAI de prestaties van Aardvark in diverse omgevingen wil valideren. Organisaties die geïnteresseerd zijn in deelname, kunnen zich aanmelden via de website van OpenAI.
OpenAI heeft ook toegezegd kosteloos scans aan te bieden aan geselecteerde niet-commerciële open-source repositories, om zo bij te dragen aan de veiligheid van de bredere software-supply chain. Het bedrijf benadrukt dat code die tijdens de bètafase wordt ingediend, niet zal worden gebruikt voor het trainen van modellen.
Voor meer informatie over de recente introductie kun je de officiële aankondiging van Aardvark bezoeken.
