OpenAIs Aardvark soll Fehler im Code erkennen und beheben

OpenAI hat Aardvark vorgestellt, einen autonomen Agenten auf Basis von GPT-5. Er soll wie ein menschlicher Sicherheitsforscher in der Lage sein, Code zu scannen, zu verstehen und zu patchen.

Im Gegensatz zu herkömmlichen Scannern, die verdächtigen Code mechanisch markieren, versucht Aardvark zu analysieren, wie und warum sich Code so verhält, wie er sich verhält. „OpenAI Aardvark unterscheidet sich dadurch, dass es einen menschlichen Sicherheitsforscher nachahmt“, erläutert Pareekh Jain, CEO von EIIRTrend. „Der Agent nutzt LLM-gestützte Schlussfolgerungen, um die Semantik und das Verhalten von Code zu verstehen. Aarvard liest und analysiert Code so, wie es ein menschlicher Sicherheitsforscher tun würde.“

Durch die direkte Einbettung in die Entwicklungspipeline will Aardvark die Sicherheit von einem Problem nach der Entwicklung zu einer kontinuierlichen Schutzmaßnahme machen, die sich mit der Software selbst weiterentwickelt, fügt Jain hinzu.

Detaillierte Analyse statt einfacher Meldung

Was Aardvark laut OpenAI so einzigartig macht ist, dass der Agent Reasoning, Automatisierung und Verifizierung kombiniert. Anstatt lediglich potenzielle Schwachstellen aufzuzeigen, verspricht Aardvark eine mehrstufige Analyse.

Hierfür kartiert das Tool zunächst das gesamte Repository und erstellt ein kontextbezogenes Bedrohungsmodell. Von dort aus überwacht er kontinuierlich neue Commits und prüft, ob jede Änderung ein Risiko darstellt oder gegen bestehende Sicherheitsmuster verstößt.

Hat es ein potenzielles Problem identifiziert, versucht Aardvark, in einer Sandbox-Umgebung zu validieren, wie der Befund ausgenutzt werden kann. Erst dann markiert die KI ihn.

Herkömmliche statische Analysewerkzeuge überhäufen Entwickler oft mit Fehlalarmen – Problemen, die riskant erscheinen mögen, aber nicht wirklich ausgenutzt werden können, erklärt Jain. „Der größte Vorteil von Aardvark besteht darin, dass dadurch Fehlalarme deutlich reduziert werden“, so der Analyst. „Das ist hilfreich bei Open-Source-Codes und als Teil der Entwicklungspipeline.“

Sobald eine Schwachstelle bestätigt wurde, integriert sich Aardvark in OpenAIs Codex, um einen Patch vorzuschlagen. Dann analysiert der Agent die Korrektur erneut, um sicherzustellen, dass sie keine neuen Probleme verursacht.

Das Unternehmen behauptet, dass das System in Benchmark-Tests 92 Prozent der bekannten und synthetisch eingeführten Schwachstellen in den Test-Repositorys identifiziert hat – ein vielversprechendes Indiz dafür, dass KI bald einen Teil der Last der modernen Code-Prüfung schultern könnte.

Bei Tests mehrere Schwachstellen bereits entdeckt

Die Rolle von Aardvark geht über Unternehmensumgebungen hinaus. OpenAI hat es bereits in Open-Source-Repositorys eingesetzt und dort nach eigenen Angaben mehrere reale Schwachstellen entdeckt. Zehn von ihnen haben offizielle CVE-Kennungen erhalten.

Der LLM-Riese gab bekannt, dass er ausgewählte nicht-kommerzielle Open-Source-Projekte kostenlos scannen will. Dies soll im Rahmen eines koordinierten Offenlegungsrahmens geschehen. Das gebe den Betreibenden Zeit, die Mängel vor der öffentlichen Meldung zu beheben, so das Unternehmen.

Dieser Ansatz steht im Einklang mit der wachsenden Erkenntnis, dass Softwaresicherheit nicht nur ein Problem des privaten Sektors ist. Sie soll auch eine gemeinsame Verantwortung des gesamten Ökosystems. „Da Sicherheit immer wichtiger und komplexer wird, werden diese autonomen Sicherheitsagenten sowohl für große als auch für kleine Unternehmen hilfreich sein“, fügt Jain hinzu.

Die Ankündigung von OpenAI spiegelt auch ein breiteres Branchenkonzept wider: Das sogenannte „Shifting Security Left“. Es besteht darin, Sicherheitsprüfungen direkt in die Entwicklung zu integrieren, anstatt sie als Tests am Ende des Zyklus zu behandeln.

 Angesichts von über 40.000 jährlich gemeldeten CVE-gelisteten Schwachstellen und der ständigen Angriffe auf die globale Software-Lieferkette könnte die Integration von KI in den Arbeitsablauf der Entwickler dazu beitragen, Geschwindigkeit und Wachsamkeit in Einklang zu bringen, so das Unternehmen. (tf/mb)