Aardvark basado en GPT-5: un nuevo referente en investigación de seguridad con detección del 92% de vulnerabilidades

OpenAI presentó 'Aardvark', un agente autónomo de investigación de seguridad impulsado por GPT-5. En un contexto en el que solo en 2024 se reportaron más de 40 mil nuevas vulnerabilidades, responder con personal limitado tiene claros límites. Aardvark analiza y prueba código como lo haría un investigador de seguridad humano, y ya descubrió 10 nuevos CVE en proyectos de código abierto.

Características clave

• Alta tasa de detección: detectó el 92% de las vulnerabilidades conocidas y sintéticas en el benchmark de repositorios “golden”, demostrando efectividad en escenarios reales.
• Enfoque centrado en lo humano: en lugar de fuzzing o análisis estático, usa razonamiento basado en LLM para entender el código y escribir/ejecutar pruebas. Puede detectar incluso bugs con condiciones complejas.
• Contribución al código abierto: planea ofrecer escaneo gratuito a repositorios open source no comerciales y adopta una política de divulgación responsable.

Cómo funciona (pipeline de 4 etapas)

1. Análisis (Analysis): analiza todo el repositorio para generar un modelo de amenazas (entiende el propósito del proyecto y su diseño de seguridad).
2. Escaneo de commits (Commit Scanning): revisa cambios y escanea el historial existente. Proporciona descripciones de vulnerabilidades y comentarios sobre el código.
3. Validación (Validation): intenta la explotación real en un sandbox y ofrece explicaciones con insights de baja tasa de falsos positivos.
4. Parcheo (Patching): con integración de Codex, propone correcciones que pueden aplicarse con un solo clic.

Se integra con GitHub y Codex, incorporándose de forma natural al flujo de trabajo de desarrollo. Ya encontró vulnerabilidades significativas dentro de OpenAI y en entornos de socios.

Contexto e impacto

Va más allá de las limitaciones de las herramientas tradicionales y automatiza la respuesta a bugs presentes en el 1.2% de los commits de código. Aborda el problema de la asimetría entre atacantes y defensores, y detecta incluso fallas lógicas y problemas de privacidad. Refuerza el ecosistema open source y mejora la resiliencia de seguridad a largo plazo mediante divulgación colaborativa.

Actualmente se encuentra en beta privada, y las organizaciones interesadas pueden postularse en el sitio web de OpenAI.