در عصری دیجیتالی که آسیب‌پذیری‌های نرم‌افزاری می‌توانند ظرف چند ساعت شرکت‌ها را از پا درآورند و زیرساخت‌های حیاتی را به خطر بیندازند، پروژه‌ی جدید OpenAI با نام Aardvark گامی بلند در جهت رفع یکی از قدیمی‌ترین ضعف‌های فناوری ــ یعنی خطای انسانی ــ برداشته است.

Aardvark یک عامل هوش مصنوعی امنیت سایبری (AI Cybersecurity Agent) است که برای کشف، آزمایش و حتی پیشنهاد راه‌حل برای آسیب‌پذیری‌های نرم‌افزاری طراحی شده تا پیش از آنکه هکرها فرصت سوءاستفاده پیدا کنند، خطرات را شناسایی و خنثی کند.

Aardvark؛ نماینده‌ی نسل جدید «سامانه‌های عامل‌محور» (Agentic Systems)

این پروژه که در اواخر اکتبر ۲۰۲۵ معرفی شد، به گفته‌ی OpenAI آغازگر نسلی تازه از سامانه‌هایی است که «عامل‌محور» نامیده می‌شوند. بر خلاف مدل‌های هوش مصنوعی سنتی که صرفاً به ورودی کاربر پاسخ می‌دهند، این عوامل به‌صورت خودگردان (Autonomous) عمل می‌کنند: محیط‌های پیچیده را پیمایش می‌کنند، آزمایش انجام می‌دهند، از ابزارهای مختلف استفاده می‌کنند و برای رسیدن به هدفی باز و چندمرحله‌ای تصمیم‌گیری می‌کنند.

در مورد Aardvark، این هدف ایفای نقش یک پژوهشگر امنیتی خستگی‌ناپذیر است که مستقیماً در فرآیند توسعه نرم‌افزار حضور دارد.

نحوه‌ی عملکرد Aardvark

Aardvark بر پایه‌ی مدل پیشرفته‌ی GPT-5 ساخته شده و به‌طور مستقیم با محیط‌های توسعه‌دهندگان ادغام می‌شود. این سامانه قادر است مخازن Git، تاریخچه‌ی commitها و تغییرات زنده‌ی کد را به‌صورت بلادرنگ بررسی کند.

برخلاف ابزارهای کلاسیک که صرفاً با بانک‌های اطلاعاتی از آسیب‌پذیری‌های شناخته‌شده کار می‌کنند، Aardvark قادر است منطق کد را تحلیل کند.
این عامل ابتدا یک «مدل تهدید» (Threat Model) از پروژه ایجاد می‌کند — یعنی درک می‌کند نرم‌افزار چه کاری باید انجام دهد، داده‌ها از کجا وارد و خارج می‌شوند و یک مهاجم چگونه ممکن است از این مسیرها سوءاستفاده کند. سپس در محیط‌های شبیه‌سازی‌شده (sandbox) تلاش می‌کند آسیب‌پذیری‌ها را خودش فعال کند تا از واقعی بودن خطر اطمینان یابد، و آنگاه آن را به مهندسان گزارش می‌دهد.

زمانی که نقصی واقعی پیدا می‌شود، Aardvark حتی می‌تواند وصله‌ی اصلاحی (Patch) را پیشنهاد دهد، همراه با توضیحی فنی درباره‌ی اینکه چگونه این تغییر خطر را کاهش می‌دهد. توسعه‌دهندگان نیز می‌توانند این اصلاحات را پس از بازبینی، از طریق روال کاری معمول خود ادغام کنند. به این ترتیب، Aardvark به جای جایگزینی انسان‌ها، به‌صورت طبیعی در زنجیره‌ی کاری آن‌ها ادغام می‌شود.

چرا Aardvark اهمیت دارد؟

اهمیت این نوآوری در زمان فعلی بیش از هر زمان دیگری احساس می‌شود. طبق داده‌های OpenAI، تعداد آسیب‌پذیری‌های ثبت‌شده در فهرست جهانی CVE در سال ۲۰۲۴ از ۴۰ هزار مورد فراتر رفته است — بیش از دو برابر رقم پنج سال قبل. هر یک از این موارد می‌تواند دری به روی بدافزارها، باج‌افزارها یا نفوذهای اطلاعاتی باز کند.

برای بیشتر شرکت‌ها، به‌ویژه آن‌هایی که کدهای گسترده یا تیم امنیتی محدودی دارند، بازرسی دستی چنین حجم عظیمی از کد تقریباً غیرممکن است. Aardvark دقیقاً برای پر کردن همین خلأ طراحی شده است: یک لایه امنیتی هوشمند، مقیاس‌پذیر و همواره فعال که بدون نیاز به نظارت مداوم انسانی، به‌طور مداوم یاد می‌گیرد و انطباق می‌یابد.

OpenAI همچنین اعلام کرده که Aardvark به‌صورت رایگان برای مخازن متن‌باز غیرتجاری نیز خدمات اسکن امنیتی ارائه می‌دهد — اقدامی که می‌تواند زنجیره‌ی تأمین نرم‌افزار اینترنت را، که به پروژه‌های متن‌باز وابسته است، به‌طور قابل توجهی ایمن‌تر کند.

انسان در حلقه‌ی نظارت (Human-in-the-loop)

با وجود توانایی‌های خودکار، Aardvark قرار نیست جایگزین پژوهشگران انسانی شود. هر آسیب‌پذیری کشف‌شده و هر وصله‌ی پیشنهادی همچنان باید توسط انسان بررسی شود.
OpenAI تأکید دارد که نظارت انسانی بخش اساسی طراحی Aardvark است — برای حفظ درک زمینه، جلوگیری از مثبت‌های کاذب و اطمینان از این‌که خود هوش مصنوعی با اصلاحاتش خطای جدیدی ایجاد نکند.

آزمایش‌های داخلی OpenAI نتایج امیدوارکننده‌ای داشته‌اند: Aardvark توانسته در مقایسه با داده‌های استاندارد (موسوم به «مخازن طلایی»)، ۹۲٪ آسیب‌پذیری‌های شناخته‌شده را به‌درستی شناسایی و بازتولید کند؛ رقمی چشمگیر که نشان از توان بالای آن در شناسایی تهدیدات واقعی دارد.

ریسک‌ها و آینده‌ی پیش رو

هرچند Aardvark نویدبخش است، اما پرسش‌های تازه‌ای درباره‌ی اعتماد، مسئولیت‌پذیری و امنیت خود عامل‌ها ایجاد می‌کند. اگر هوش مصنوعی بتواند راه نفوذها را پیدا کند، آیا ممکن است از همین قابلیت به‌صورت سوءاستفاده‌آمیز استفاده شود؟
OpenAI می‌گوید Aardvark فقط در محیط‌های ایزوله و ایمن (sandboxed) فعالیت می‌کند و قادر به انتقال داده یا اجرای کد خارج از محدوده‌ی مجاز نیست. با این حال، مفهوم یک «عامل امنیت سایبری تهاجمی» بی‌تردید توجه نهادهای نظارتی و کارشناسان امنیتی را جلب خواهد کرد.

چالش دیگر، فرهنگ سازمانی است: اعتماد تیم‌های توسعه و امنیت به سیستمی خودکار برای بررسی حساس‌ترین بخش‌های کد، نیازمند زمان و پذیرش تدریجی است.

با وجود این، اگر Aardvark موفق شود، می‌تواند آغازگر تغییری بنیادین در امنیت سایبری باشد — از دفاع واکنشی به پیشگیری هوشمندانه. به جای آن‌که تحلیلگران انسانی به‌دنبال تهدیدات تازه بدوند، شاید به‌زودی شاهد عوامل خودکار هوش مصنوعی باشیم که بی‌صدا در پس‌زمینه کدهای جهان گشت می‌زنند و پیش از وقوع خطر، آسیب‌پذیری‌ها را ترمیم می‌کنند.

جمع‌بندی

Aardvark فقط یک دستیار دیگر مبتنی بر هوش مصنوعی نیست، بلکه آزمایشی برای سپردن اختیار، مسئولیت و مأموریت به هوش مصنوعی است — مأموریتی برای حفاظت از امنیت جهانی کد.
این پروژه نمادی از آینده‌ای است که در آن امنیت سایبری از رویکرد تدافعی و واکنشی، به مدلی پیش‌دستانه و خودکار تغییر می‌کند؛ آینده‌ای که در آن، ماشین‌ها می‌توانند سریع‌تر از تهدیدات بیاموزند، پیش‌بینی کنند و مقابله کنند.

در نبرد همیشگی میان مهاجمان و مدافعان، شاید Aardvark نخستین نشانه‌ی تغییر موازنه‌ی قدرت به نفع «مدافعان» باشد.