오픈AI, GPT-5 기반 취약점 탐지 도구 발표했다

소스코드 리포지토리를 지속 분석해 취약점을 식별하는 AI 에이전트 아드바크(Aardvark)를 오픈AI가 발표했다. 인간처럼 코드를 읽어 보안 대책을 수행하는 도구다.

아드바크는 오픈AI AI 모델인 GPT-5를 탑재한 자율형 보안 연구 에이전트다. 대규모 언어 모델을 활용한 추론과 도구 활용을 통해 소스코드를 분석하고 취약점 식별, 악용 가능성 평가, 심각도 우선순위 설정을 수행한 뒤 수정 시도, 테스트 실행, 수정 패치 제안까지 진행한다.

아드바크는 다단계 프로세스를 거쳐 취약점 식별·설명·수정을 수행한다. 먼저 분석. 리포지토리 전체를 분석하고 프로젝트 보안 목표와 설계를 반영한 위협 모델을 생성한다. 다음은 커밋 스캔. 새로운 코드가 커밋될 때 커밋 레벨 변경사항을 리포지토리 전체 및 위협 모델과 대조해 검사하고 취약점을 스캔한다. 이어 검증. 잠재적 취약점 식별 후 격리된 샌드박스 환경에서 취약점을 재현하고 악용 가능성을 확인한다. 마지막으로 패치 적용. 오픈AI AI 코딩 도구인 코덱스(Codex)와 연계해 발견한 취약점 수정을 지원한다.

발표 시점 이미 아드바크는 수개월간 가동 중이며 오픈AI 내부 코드와 외부 파트너 코드에서 사용되고 있다고 한다. 오픈AI 내부에서는 중요한 취약점을 발견해 방어 태세 강화에 기여했으며 외부 파트너에서는 복잡한 조건에서만 발생하는 문제를 발견하는 아드바크 능력이 높이 평가받고 있다.

아드바크는 오픈소스 프로젝트에도 적용되어 오픈AI는 취약점 다수를 발견하고 공개해왔다. 그 중 10건은 공통 취약점 식별자(CVE)를 취득했다. 또 오픈AI는 오픈소스 소프트웨어 보안 향상에 기여하기 위해 비영리 오픈소스 리포지토리를 대상으로 무상 스캔을 제공할 계획이다.

아드바크는 비공개 베타 버전이 공개 중이며 전용 양식을 통해 이용 신청을 할 수 있다. 오픈AI는 소프트웨어 보안은 기술 분야에서 가장 중요하고 어려운 과제 중 하나라며 매년 기업용 및 오픈소스 코드베이스에서 수만 건에 이르는 새로운 취약점이 발견되고 있다고 밝혔다. 이어 방어 측은 공격자보다 먼저 취약점을 발견하고 수정해야 하는 어려운 과제에 직면해 있다면서 자사는 이런 균형을 방어 측에 유리하게 기울이는 노력을 진행하고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.