Google DeepMind представила CodeMender: новий ШІ-агент для автоматичного виправлення вразливостей коду

Google DeepMind поділилася першими результатами роботи над CodeMender — новим ШІ-агентом, що автоматично виправляє вразливості в програмному коді. Компанія заявляє, що цей інструмент значно полегшить пошук і усунення вразливостей, що зазвичай є складним і тривалим процесом для розробників.

CodeMender використовує модель Gemini Deep Think, щоб діяти як автономний агент. Він може як реагувати на виявлені вразливості, так і проактивно переписувати код для підвищення безпеки. За останні шість місяців розробки, CodeMender вже вніс 72 виправлення безпеки в open-source проєкти, деякі з яких містили до 4,5 мільйона рядків коду.

Для забезпечення високої якості виправлень агент використовує автоматичний процес валідації, що гарантує функціональність та відсутність збоїв. CodeMender також оснащений просунутим програмним аналізом і мультиагентними системами для ефективнішого розв’язування проблем.

CodeMender здатен виявляти та виправляти складні вразливості. Наприклад, в одному випадку агент знайшов корінну причину переповнення буфера в динамічній пам’яті (heap buffer overflow), що було пов’язано з некоректним керуванням стеком XML-елементів. В іншому прикладі, CodeMender створив нетривіальне виправлення, яке розв’язало проблему життєвого циклу об’єкта.

Крім того, агент може проактивно переписувати код для покращення безпеки. Наприклад, він може додавати анотації -fbounds-safety до коду, що запобігає експлуатації вразливостей, пов’язаних з переповненням буфера. Раніше така вразливість у бібліотеці libwebp використовувалася для атаки на iOS.

---

---

Наразі всі виправлення, згенеровані CodeMender, проходять обов’язкову перевірку дослідниками-людьми. Google поступово збільшуватиме масштаби роботи та співпрацюватиме з розробниками open-source проєктів. У майбутньому компанія планує випустити CodeMender як інструмент, що буде доступним для всіх розробників, щоб зробити програмне забезпечення безпечнішим.

---

---