News · Aardvarks Oberfläche für menschliche Prüfung: Wie OpenAI einen autonomen Sicherheits-Agenten für Entwickler verpackt
Aardvarks Oberfläche für menschliche Prüfung: Wie OpenAI einen autonomen Sicherheits-Agenten für Entwickler verpackt
Der agentische Sicherheitsforscher von OpenAI denkt im Hintergrund, doch der Teil, mit dem Entwickler tatsächlich arbeiten, ist eine Prüf- und Patch-Oberfläche, die nahtlos in GitHub und Codex integriert ist.
Was Entwickler tatsächlich zu sehen bekommen
Der Großteil der Arbeit von Aardvark bleibt unsichtbar: Es erstellt ein Bedrohungsmodell eines Repositorys, gleicht Änderungen auf Commit-Ebene mit diesem Modell ab und versucht, vermutete Schwachstellen in einer Sandbox auszulösen. Doch die Quellenbeschreibung kehrt immer wieder zu einer engeren Frage zurück – was am Ende vor einem Menschen landet.
Die Antwort ist ein strukturierter Befund. Aardvark „erklärt die gefundenen Schwachstellen Schritt für Schritt und kommentiert den Code für die menschliche Prüfung“, beschreibt die während der Validierung durchgeführten Schritte und fügt einen von Codex generierten Patch bei, den ein Prüfer per „Ein-Klick-Patch“ übernehmen kann. Das ist die Produktoberfläche. Das Reasoning ist der Motor; der kommentierte Befund und der Patch-Button sind das Frontend.
Das ist von Bedeutung, weil ein Sicherheitsscanner, der nur rohe Warnungen ausgibt, zusätzliche Arbeit erzeugt. Einer, der eine Erklärung, eine Reproduktion und einen vorgeschlagenen Diff liefert, erzeugt eine Entscheidung. OpenAI hat die Ausgabe so gestaltet, dass sie prüfbar ist – nicht nur zustellbar.
Validierung ist ein Vertrauensmerkmal, nicht nur ein Erkennungsschritt
Die dritte Stufe der Pipeline – der Versuch, eine Schwachstelle in einer isolierten Sandbox auszulösen, bevor sie gemeldet wird – liest sich wie eine Verbesserung der Erkennung. Durch die Frontend-Brille betrachtet, ist sie ein Vertrauensmerkmal.
OpenAI stellt es explizit in den Kontext der Erfahrung des Prüfers: Die Sandbox-Validierung soll sicherstellen, dass „präzise, hochwertige Erkenntnisse mit geringer Falsch-Positiv-Rate an die Nutzer zurückgespielt werden“. Das Unternehmen nennt außerdem eine Recall-Rate von 92 % bei „goldenen“ Benchmark-Repositorys. Recall beantwortet die Frage, ob der Agent Bugs findet; die Betonung der Falsch-Positiv-Rate beantwortet die Frage, ob ein Mensch nach den ersten paar Fehlalarmen weiterhin die Ausgabe liest.
Für jedes Team, das schon einmal statische Analysetools eingesetzt hat, ist die zweite Frage die schwierigere. Ein Scanner, der ständig Fehlalarm schlägt, wird stumm geschaltet. Indem jeder Befund den Nachweis eines funktionierenden Exploits mitbringt, versucht Aardvark, seinen Kanal zum Entwickler offen zu halten.
In bestehende Arbeitsabläufe integriert, statt einen neuen zu schaffen
Aardvark ist in GitHub und Codex integriert und wird so beschrieben, dass es „gemeinsam mit Entwicklern arbeitet ... ohne die Entwicklung zu verlangsamen“. Das Update vom März 2026 treibt dies weiter: Das Tool heißt jetzt Codex Security und wird über Codex Web an Kunden von ChatGPT Enterprise, Business und Edu ausgeliefert, mit einem Monat kostenloser Nutzung.
Die Wahl des Vertriebswegs ist der entscheidende Punkt. Statt eine separate Sicherheitskonsole aufzubauen, die Teams eigenständig prüfen müssten, platziert OpenAI die Befunde direkt in den Code-Review- und Coding-Oberflächen, die Entwickler bereits nutzen. Die Schwachstelle erscheint dort, wo der Commit liegt; der Patch erscheint dort, wo Patches normalerweise geprüft werden.
Das ist eine bewusste Entscheidung gegen das Modell eigenständiger Dashboards in der Sicherheitstechnik. Sie geht davon aus, dass die Akzeptanz weniger von der Leistungsfähigkeit abhängt als davon, ob das Tool einen Arbeitsablauf stört, dem Entwickler bereits vertrauen.
Das Designrisiko: Volumen trifft auf Prüfwarteschlange
OpenAI nennt über 40.000 im Jahr 2024 gemeldete CVEs und die eigene Erkenntnis, dass rund 1,2 % der Commits Bugs einführen. Das Unternehmen hat bereits verantwortungsvoll Schwachstellen in Open-Source-Projekten offengelegt, von denen zehn CVE-Kennungen erhielten, und seine Richtlinie zur Offenlegung nach außen hin überarbeitet – weg von „starren Offenlegungsfristen“ und hin zu Zusammenarbeit.
Das Unternehmen benennt klar, was dieser Umfang bedeutet: „Wir gehen davon aus, dass Tools wie Aardvark zur Entdeckung einer wachsenden Zahl von Bugs führen werden.“ Genau das ist die zentrale Spannung dieser Ankündigung. Ein Agent, der schneller mehr Probleme findet, hilft nur, wenn die menschliche Prüfoberfläche mit diesem Zustrom mithalten kann – und jede Designentscheidung hier (Annotationen, Sandbox-Nachweis, angehängte Patches, Ein-Klick-Annahme) zielt darauf ab, die Kosten pro Befund für diese Prüfung zu senken.
Der eigentliche Test für Codex Security ist also nicht die Recall-Rate von 92 %. Es ist die Frage, ob die Warteschlange eines Sicherheitsteams lesbar bleibt, wenn ein dauerhaft aktiver Agent jeden Commit überwacht. Das Frontend ist der Ort, an dem dieser Test bestanden oder nicht bestanden wird.
Find this story relevant to you?
Contact us to find a unique solution
Brauchen Sie einen KI-Engineering-Partner, der auch liefern kann?
Wir helfen Unternehmen dabei, KI in Produkte und Prozesse zu integrieren, wertvolle Workflows zu automatisieren und die zugrunde liegenden Softwaresysteme zu modernisieren.
Weiterführende Beiträge
Weitere Analysen rund um Produktbereitstellung, operative KI und die Systemarbeit, die dafür sorgt, dass der Einsatz in der Praxis Bestand hat.