{"id":5644,"date":"2025-11-03T16:02:54","date_gmt":"2025-11-03T16:02:54","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5644"},"modified":"2025-11-03T16:02:54","modified_gmt":"2025-11-03T16:02:54","slug":"openais-aardvark-soll-fehler-im-code-erkennen-und-beheben","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5644","title":{"rendered":"OpenAIs Aardvark soll Fehler im Code erkennen und beheben"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

KI soll das Thema Sicherheit fr\u00fchzeitig in den Development-Prozess miteinbeziehen.<\/p>\n

Summit Art Creations\/ Shutterstock<\/p>\n<\/div>\n

OpenAI hat Aardvark vorgestellt, einen autonomen Agenten auf Basis von GPT-5. Er soll wie ein menschlicher Sicherheitsforscher in der Lage sein, Code zu scannen, zu verstehen und zu patchen.<\/p>\n

Im Gegensatz zu herk\u00f6mmlichen Scannern, die verd\u00e4chtigen Code mechanisch markieren, versucht Aardvark zu analysieren, wie und warum sich Code so verh\u00e4lt, wie er sich verh\u00e4lt. \u201eOpenAI Aardvark unterscheidet sich dadurch, dass es einen menschlichen Sicherheitsforscher nachahmt\u201c, erl\u00e4utert Pareekh Jain, CEO von EIIRTrend. \u201eDer Agent nutzt LLM-gest\u00fctzte Schlussfolgerungen, um die Semantik und das Verhalten von Code zu verstehen. Aarvard liest und analysiert Code so, wie es ein menschlicher Sicherheitsforscher tun w\u00fcrde.\u201c<\/p>\n

Durch die direkte Einbettung in die Entwicklungspipeline will Aardvark die Sicherheit von einem Problem nach der Entwicklung zu einer kontinuierlichen Schutzma\u00dfnahme machen, die sich mit der Software selbst weiterentwickelt, f\u00fcgt Jain hinzu.<\/p>\n

Detaillierte Analyse statt einfacher Meldung<\/strong><\/h2>\n

Was Aardvark laut OpenAI so einzigartig macht ist, dass der Agent Reasoning, Automatisierung und Verifizierung kombiniert. Anstatt lediglich potenzielle Schwachstellen aufzuzeigen, verspricht Aardvark eine mehrstufige Analyse.<\/p>\n

Hierf\u00fcr kartiert das Tool zun\u00e4chst das gesamte Repository und erstellt ein kontextbezogenes Bedrohungsmodell. Von dort aus \u00fcberwacht er kontinuierlich neue Commits und pr\u00fcft, ob jede \u00c4nderung ein Risiko darstellt oder gegen bestehende Sicherheitsmuster verst\u00f6\u00dft.<\/p>\n

Hat es ein potenzielles Problem identifiziert, versucht Aardvark, in einer Sandbox-Umgebung zu validieren, wie der Befund ausgenutzt werden kann. Erst dann markiert die KI ihn.<\/p>\n

Herk\u00f6mmliche statische Analysewerkzeuge \u00fcberh\u00e4ufen Entwickler oft mit Fehlalarmen \u2013 Problemen, die riskant erscheinen m\u00f6gen, aber nicht wirklich ausgenutzt werden k\u00f6nnen, erkl\u00e4rt Jain. \u201eDer gr\u00f6\u00dfte Vorteil von Aardvark besteht darin, dass dadurch Fehlalarme deutlich reduziert werden\u201c, so der Analyst. \u201eDas ist hilfreich bei Open-Source-Codes und als Teil der Entwicklungspipeline.\u201c<\/p>\n

Sobald eine Schwachstelle best\u00e4tigt wurde, integriert sich Aardvark in OpenAIs Codex<\/a>, um einen Patch vorzuschlagen. Dann analysiert der Agent die Korrektur erneut, um sicherzustellen, dass sie keine neuen Probleme verursacht.<\/p>\n

Das Unternehmen behauptet, dass das System in Benchmark-Tests 92 Prozent der bekannten und synthetisch eingef\u00fchrten Schwachstellen in den Test-Repositorys identifiziert hat \u2013 ein vielversprechendes Indiz daf\u00fcr, dass KI bald einen Teil der Last der modernen Code-Pr\u00fcfung schultern k\u00f6nnte.<\/p>\n

Bei Tests mehrere Schwachstellen bereits entdeckt<\/strong><\/h2>\n

Die Rolle von Aardvark geht \u00fcber Unternehmensumgebungen hinaus. OpenAI hat es bereits in Open-Source-Repositorys eingesetzt und dort nach eigenen Angaben mehrere reale Schwachstellen entdeckt. Zehn von ihnen haben offizielle CVE-Kennungen erhalten.<\/p>\n

Der LLM-Riese gab bekannt, dass er ausgew\u00e4hlte nicht-kommerzielle Open-Source-Projekte kostenlos scannen will. Dies soll im Rahmen eines koordinierten Offenlegungsrahmens geschehen. Das gebe den Betreibenden Zeit, die M\u00e4ngel vor der \u00f6ffentlichen Meldung zu beheben, so das Unternehmen.<\/p>\n

Dieser Ansatz steht im Einklang mit der wachsenden Erkenntnis, dass Softwaresicherheit nicht nur ein Problem des privaten Sektors ist. Sie soll auch eine gemeinsame Verantwortung des gesamten \u00d6kosystems. \u201eDa Sicherheit immer wichtiger und komplexer wird, werden diese autonomen Sicherheitsagenten sowohl f\u00fcr gro\u00dfe als auch f\u00fcr kleine Unternehmen hilfreich sein\u201c, f\u00fcgt Jain hinzu.<\/p>\n

Die Ank\u00fcndigung von OpenAI spiegelt auch ein breiteres Branchenkonzept wider: Das sogenannte \u201eShifting Security Left\u201c. Es besteht darin, Sicherheitspr\u00fcfungen direkt in die Entwicklung zu integrieren, anstatt sie als Tests am Ende des Zyklus zu behandeln.<\/p>\n

\u00a0Angesichts von \u00fcber 40.000 j\u00e4hrlich gemeldeten CVE-gelisteten Schwachstellen und der st\u00e4ndigen Angriffe auf die globale Software-Lieferkette k\u00f6nnte die Integration von KI in den Arbeitsablauf der Entwickler dazu beitragen, Geschwindigkeit und Wachsamkeit in Einklang zu bringen, so das Unternehmen. (tf\/mb)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

KI soll das Thema Sicherheit fr\u00fchzeitig in den Development-Prozess miteinbeziehen. Summit Art Creations\/ Shutterstock OpenAI hat Aardvark vorgestellt, einen autonomen Agenten auf Basis von GPT-5. Er soll wie ein menschlicher Sicherheitsforscher in der Lage sein, Code zu scannen, zu verstehen und zu patchen. Im Gegensatz zu herk\u00f6mmlichen Scannern, die verd\u00e4chtigen Code mechanisch markieren, versucht Aardvark […]<\/p>\n","protected":false},"author":0,"featured_media":5639,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5644","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5644"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5644"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5644\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5639"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5644"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5644"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5644"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}