Если ваш код по ночам шуршит — не пугайтесь: это не полтергейст, это баги репетируют побег из продакшена. И вот на их ночной джем заявился новый гость — Aardvark, трубкозуб с нюхом на уязвимости.
OpenAI представила автономного агента на GPT‑5, который ведёт себя как дисциплинированный исследователь безопасности, но без кофеиновых качелей. Он не просто подчёркивает «красные строки», а начинает с карты местности: обегает весь репозиторий, выстраивает контекстную модель угроз и встраивается прямо в ваш CI/CD, чтобы проверять каждый свежий коммит на запах риска.
Главная хитрость — проверка эксплуатируемости. Нашёл подозрение — несёт его в песочницу и пытается воспроизвести атаку. Если получается, сигналит не «может быть опасно», а «вот как ломается и почему». Так отсекаются ложные срабатывания — извечная беда статического анализа, после которого разработчики перестают верить даже правде.
Дальше — прагматика. Уязвимость подтверждена? Aardvark предлагает патч, интегрируясь с инструментами генерации кода, и тут же перепроверяет, не наплодила ли заплатка новых проблем. В тестах система опознавала 92% известных и синтетически внедрённых уязвимостей в контрольных репозиториях — цифра, заставляющая задуматься, сколько ночных страниц можно закрыть заранее.
Звучит как мечта SRE и DevSecOps-команд: меньше «красного тумана», больше конкретики, прицельные MR-комментарии, и всё это — непрерывно, по мере эволюции кода. Особенно приятно опенсорсу, где поток коммитов нескончаем, а добровольцы не всегда успевают за хулиганами из мира эксплойтов.
Конечно, чудес не бывает: любой агент ошибается, песочницы не идеальны, а контекст доменно‑зависим. Но смещение безопасности «влево» с разумной верификацией — редкий случай, когда автоматизация действительно экономит нервы. Если баги — это тараканы индустрии, то Aardvark выглядит как тот самый добрый, но принципиальный сосед, который вежливо постучит и спросит: «Ребята, по правилам играем?»