現在プライベートベータ中のGPT-5搭載セキュリティエージェントが、実際の研究者のようにソフトウェアをスキャン、推論、修正し、AI主導の防御を開発ワークフローに組み込むことを目指しています。
OpenAIは、GPT-5を搭載した自律型エージェント「Aardvark」を発表しました。これは、人間のセキュリティ研究者のようにコードをスキャンし、理解し、プロの脆弱性アナリスト並みの推論能力で修正できるよう設計されています。
木曜日に発表され、現在プライベートベータで提供されているAardvarkは、AI主導のソフトウェアセキュリティへの大きな飛躍として位置付けられています。
従来のスキャナーが機械的に疑わしいコードを検出するのとは異なり、Aardvarkはコードがどのように、なぜそのように動作するのかを分析しようとします。「OpenAI Aardvarkは、人間のセキュリティ研究者を模倣している点が異なります」とEIIRTrendのCEO、Pareekh Jain氏は述べています。「LLMによる推論を活用し、コードの意味や挙動を理解し、人間のセキュリティ研究者のようにコードを読み、分析します。」
Jain氏はさらに、Aardvarkが開発パイプラインに直接組み込まれることで、セキュリティを開発後の懸念事項から、ソフトウェア自体とともに進化する継続的な安全策へと変えることを目指していると述べています。
コードの意味解析から検証済みパッチまで
OpenAIによれば、Aardvarkのユニークな点は、推論、自動化、検証を組み合わせていることです。単に潜在的な脆弱性を指摘するだけでなく、リポジトリ全体をマッピングし、その周囲にコンテキストに基づく脅威モデルを構築することから多段階の分析を開始します。そこから新しいコミットを継続的に監視し、それぞれの変更がリスクをもたらすか、既存のセキュリティパターンに違反していないかをチェックします。
さらに、潜在的な問題を特定すると、Aardvarkはサンドボックス環境でその発見が実際に悪用可能かどうかを検証し、問題を報告します。
この検証ステップは、変革的なものとなる可能性があります。従来の静的解析ツールは、開発者にとって本当に悪用可能ではないにもかかわらずリスクがあるように見える問題、いわゆる「誤検知」を大量に発生させることがよくあります。「最大の利点は、誤検知を大幅に減らせることです」とJain氏は述べています。「オープンソースコードや開発パイプラインの一部として役立ちます。」
脆弱性が確認されると、AardvarkはCodexと連携して修正案を提案し、その修正が新たな問題を引き起こさないか再度分析します。OpenAIによると、ベンチマークテストでは、テスト用リポジトリ内の既知および人工的に導入された脆弱性の92%を特定したとされており、AIが近い将来、現代のコード監査の一部を担う可能性を示しています。
オープンソースの保護とセキュリティの左シフト
Aardvarkの役割は企業環境にとどまりません。OpenAIはすでにオープンソースリポジトリ全体でAardvarkを展開しており、実際の脆弱性を複数発見し、そのうち10件が公式CVE識別子を取得したとしています。同社は、選定された非営利のオープンソースプロジェクトに対し、無償でスキャンを提供する計画も明らかにしており、管理者が公表前に修正できるよう調整された開示フレームワークの下で実施されます。
このアプローチは、ソフトウェアセキュリティが民間部門だけの問題ではなく、共有されたエコシステムの責任であるという認識の高まりと一致しています。「セキュリティがますます重要かつ高度化する中で、これらの自律型セキュリティエージェントは大企業にも中小企業にも役立つでしょう」とJain氏は付け加えました。
OpenAIの発表はまた、「セキュリティの左シフト」と呼ばれる業界全体の概念も反映しています。これは、セキュリティチェックを開発工程に直接組み込むことで、開発サイクルの終盤のテストとして扱うのではなく、開発初期からセキュリティを確保するという考え方です。年間4万件以上のCVE登録脆弱性が報告され、グローバルなソフトウェアサプライチェーンが常に攻撃にさらされている中、AIを開発者のワークフローに統合することで、スピードと警戒のバランスが取れるようになると同社は述べています。
