.png)
OpenAIは10月30日(現地時間)、AIによって自律的にソースコードの脆弱性を検出・修正支援するエージェント「Aardvark」を発表し、プライベートβ版の提供を開始した。AardvarkはGPT-5を基盤とし、継続的なコードの検査やパッチ提案を特徴とする。
Aardvarkは、ソースコードリポジトリを継続的に監視し、コードの変更点を検査するAIエージェントだ。これにより脆弱性を特定し、どのように悪用される可能性があるかを評価したうえで、適切な修正案を提案する。
従来の動的解析やソフトウェア構成分析ではなく、大規模言語モデルによる推論とツール活用を基にコードを読み、解析やテスト、ツールによる検証を行う点が特徴だ。
Aardvarkの処理は、複数の段階から構成されている。
まず始めにリポジトリ全体を分析して、プロジェクトのセキュリティ目標と設計の意図を反映した脅威モデルを生成。その後、新しいコードが追加されるたびに、コミット単位でのスキャンを実施する。なお、初回接続時はリポジトリ履歴全体も分析する。
発見された脆弱性は、隔離された環境で実際に悪用できるかを検証し、詳細な説明を付してユーザーに提示する。また、発見された脆弱性はOpenAI Codexと連携して修正パッチを生成し、レビュー用にGitHub上のワークフローと連携することも可能だ。
すでにOpenAI社内や外部パートナーのコードベースで数カ月にわたり運用され、ベンチマークテストでは既知および人工的に導入した脆弱性の92%を特定したと発表している。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
