GPT-5 기반 Aardvark: 취약점 92% 탐지로 보안 연구 새 기준 제시

OpenAI가 GPT-5를 활용한 자율형 보안 연구 에이전트 'Aardvark'를 공개. 2024년 한 해에만 4만 개 이상의 새로운 취약점이 보고되는 상황에서, 제한된 인력만으로는 대응 한계. Aardvark는 인간 보안 연구자처럼 코드를 분석하고 테스트하며, 오픈소스 프로젝트에서 이미 10개의 새로운 CVE를 발견.

핵심 특징

• 높은 탐지율: '골든' 레포지토리 벤치마크에서 알려진 및 합성 취약점 92%를 탐지, 실전 효과 입증.
• 인간 중심 접근: 퍼징이나 정적 분석 대신 LLM 기반 추론으로 코드 이해, 테스트 작성·실행. 복잡한 조건 버그까지 포착.
• 오픈소스 기여: 비상업 오픈소스 레포에 무료 스캔 제공 계획, 책임 있는 공개 정책 채택.

작동 방식 (4단계 파이프라인)

1. 분석(Analysis): 레포지토리 전체 분석으로 위협 모델 생성 (프로젝트 목적·보안 설계 이해).
2. 커밋 스캐닝(Commit Scanning): 변경사항 검토, 기존 이력 스캔. 취약점 설명 및 코드 주석 제공.
3. 검증(Validation): 샌드박스에서 실제 악용 시도, 오탐률 낮은 인사이트 설명.
4. 패치(Patching): Codex 통합으로 수정 제안, 원클릭 적용 가능.

GitHub·Codex와 연동되어 개발 워크플로우에 자연스럽게 통합. OpenAI 내부 및 파트너 환경에서 이미 의미 있는 취약점 발견.

배경과 영향

전통 도구의 한계를 넘어, 코드 커밋 1.2%에 포함된 버그를 자동 대응. 공격자-방어자 비대칭 문제를 해결하며, 로직 결함·프라이버시 이슈까지 탐지. 오픈소스 생태계 강화와 협력적 공개로 장기 보안 회복력 제고.

현재 프라이빗 베타 단계로, 관심 조직은 OpenAI 웹사이트에서 신청 가능.