Arriva Aardvark: il nuovo agente OpenAI che scova i bug nel codice proprio come l'oritteropo

OpenAI ha annunicato nei giorni scorsi il nuovo agente AI Aardvark, pensato per aiutare sviluppatori e ricercatori nell'identificazione di bug e nella scrittura di patch per le vulnerabilità software. Il nome scelto per questo agente AI è simbolico: Aardvark è il nome inglese dell'oritteropo, un insettivoro africano che usa la sua piccola proboscide per fiutare formiche e termiti sotto il suolo, scavando nel terreno per nutrirsi di questi piccoli insetti. Allo stesso modo Aardwark di OpenAI esamina in profondità il codice sorgente alla ricerca di punti deboli, agendo anche in modo autonomo e proattivo per la risoluzione di eventuali bug e problemi riscontrati.

Aardvark opera mediante una scansione continua dei repository software, individuando in tempo reale le potenziali vulnerabilità e suggerendo le modifiche necessarie. Il funzionamento si distingue dagli strumenti di sicurezza tradizionali, poiché non adotta tecniche standard come il fuzzing (tecnica di test che si basa sulla somministrazione di input invalidi, inaspettati o casuali) o l'analisi statica, ma sfrutta invece le capacità di ragionamento avanzato del modello GPT-5 e una serie di strumenti specializzati per comprendere il comportamento del codice, proprio come farebbe un ricercatore umano.

Quando Aardvark rileva una possibile vulnerabilità, procede ad un test in un ambiente isolato (sandbox) per validare la reale possibilità di sfruttamento. Se la minaccia è confermata, l'agente genera una patch tramite OpenAI Codex. Tale patch viene ulteriormente testata nell'ambiente sandbox e successivamente sottoposta alla revisione di uno sviluppatore umano, che la integra infine nel repository.

Negli ultimi mesi, Aardvark è stato utilizzato attivamente sia da OpenAI sia da alcuni partner selezionati, contribuendo all'individuazione di numerose vulnerabilità in progetti open source. Un risultato significativo evidenziato da OpenAI è rappresentato dalla segnalazione di dieci bug che hanno ricevuto ufficialmente un identificatore CVE, a conferma dell’efficacia dello strumento. OpenAI ha inoltre annunciato la scansione gratuita e continua di specifici repository open source non commerciali, ampliando la portata e l’impatto della soluzione per rafforzare la sicurezza dell’ecosistema software globale.

L'esperienza accumulata nella fase beta privata in cui si trova al momento Aarvark, e per la quale è possibile fare richiesta, sarà fondamentale per perfezionare l'agente AI e aumentarne il tasso di rilevamento e correzione.

Nonostante l’alto livello di automazione offerto, la revisione umana delle patch rimane un passaggio essenziale per evitare l’introduzione di nuovi difetti o regressioni nel codice. Un ulteriore aspetto da considerare riguarda l’efficacia di Aardvark in ambienti complessi o su linguaggi di programmazione meno diffusi, e la gestione trasparente della privacy dei codice analizzati.

OpenAI assicura che il codice sottoposto a scansione durante i test non sarà impiegato per il training futuro dei modelli, garantendo la riservatezza e la compliance dei dati gestiti. Per chi opera in settori regolamentati come sanità e finanza, saranno necessarie ulteriori verifiche e certificazioni affinché lo strumento possa essere adottato in modo sicuro e conforme alle normative vigenti.