Nieuw AI-agent onderzoekt, test en repareert kwetsbaarheden in software – zonder menselijke tussenkomst
AI Aardvark opent nieuw hoofdstuk in cyberbeveiliging
OpenAI Aardvark is de nieuwste stap in de snelle evolutie van AI-agenten: een autonoom systeem dat niet enkel code leest, maar actief beveiligingslekken opspoort, test én helpt verhelpen. De tool, die donderdag in private bèta werd gelanceerd, wordt aangedreven door GPT-5 en positioneert zich als een “agentic security researcher” – een digitale collega voor beveiligingsteams.
Volgens OpenAI ontstond Aardvark eerst als intern hulpmiddel om de eigen ontwikkelaars te helpen. “Onze engineers zagen meteen de waarde in hoe helder het systeem kwetsbaarheden uitlegde en verbeteringen aanreikte,” zegt Matt Knight, VP bij OpenAI. “Dat was het signaal dat we iets wezenlijks te pakken hadden.”
Van lezen naar handelen
Waar traditionele beveiligingssoftware vaak louter scant, gaat Aardvark verder. De agent verbindt met een code-repository en doorloopt verschillende fasen die het werk van een menselijke onderzoeker nabootsen:
- Contextbegrip: Aardvark analyseert de structuur en doelstelling van de code.
- Detectie: het systeem vergelijkt nieuwe commits met de bestaande codebasis om afwijkingen te vinden.
- Validatie: potentiële kwetsbaarheden worden uitgeprobeerd in een sandboxomgeving om te zien of ze daadwerkelijk misbruikt kunnen worden.
- Herstel: via integratie met OpenAI Codex genereert Aardvark een voorstel voor een patch, die een ontwikkelaar vervolgens kan beoordelen en implementeren.
Het resultaat: minder valse positieven en een snellere beveiligingscyclus, zonder de gebruikelijke ontwikkelingsvertragingen.
GPT-5 als fundament
Aardvark steunt op GPT-5’s multimodale redeneervermogen. In plaats van puur statistisch te raden, “begrijpt” de agent de semantiek van de code. Dat laat hem niet alleen bugs herkennen, maar ook hun impact op systeemgedrag inschatten.
In interne tests identificeerde Aardvark 92% van bekende én synthetisch ingevoegde kwetsbaarheden. Het systeem heeft bovendien al verschillende lekken ontdekt in open-sourceprojecten, waarvan er tien officieel een CVE-nummer kregen.
Proefprojecten en pro-bono-scans
De bèta is voorlopig beperkt tot uitgenodigde partners. OpenAI gebruikt hun feedback om detectie en workflow verder te verfijnen. Tegelijk kondigde het bedrijf aan gratis scans aan te bieden voor geselecteerde open-sourceprojecten – een manier om zowel de community te helpen als real-world data te verzamelen.
Met meer dan 40.000 CVE-meldingen in 2024 is de schaal van het probleem enorm. OpenAI wil met Aardvark niet enkel aanvallen afwenden, maar ook het veiligheidswerk zelf versnellen.
Van risico naar samenwerking
Tegelijk heerst er scepsis. In recente bevragingen noemt 96% van IT-professionals AI-agenten een veiligheidsrisico, al zetten ze ze toch in. Aardvark probeert dat spanningsveld te adresseren door alle acties te sandboxen en de mens de laatste goedkeuring te laten geven.
Als Aardvark doet wat OpenAI belooft, zou het de drempel voor veilige software-ontwikkeling drastisch kunnen verlagen. Of het de rol van menselijke beveiligingsonderzoekers hertekent, blijft nog open — maar de toon is gezet: de digitale ethische hacker is gearriveerd.
