Google DeepMind представила CodeMender — ИИ-агента для автоматического исправления уязвимостей в коде

Google DeepMind представила ^[1] CodeMender — нового искусственного агента, предназначенного для автоматического поиска и устранения уязвимостей в программном обеспечении. Разработка основана на модели Gemini Deep Think и сочетает два подхода к безопасности: реактивный, при котором агент оперативно исправляет выявленные уязвимости, и проактивный, когда он переписывает участки кода, повышая их устойчивость к потенциальным атакам.

По данным Google, за последние шесть месяцев CodeMender уже внёс 72 исправления безопасности в открытые проекты, включая репозитории объёмом до 4,5 миллиона строк кода. Все изменения проходят проверку исследователей перед отправкой в основные ветки.

CodeMender работает как автономный агент, способный анализировать и модифицировать код с помощью набора инструментов, включающих статический и динамический анализ, fuzzing, дифференциальное тестирование и SMT-солверы. Для повышения точности применяются специализированные подагенты, которые проверяют корректность исправлений, выявляют возможные регрессии и автоматически вносят корректировки. Агент также использует собственную систему валидации, которая позволяет фильтровать некачественные патчи и передавать на ручное ревью только проверенные изменения.

Одним из примеров применения CodeMender стал проект по улучшению безопасности библиотеки libwebp ^[2], ранее известной из-за уязвимости CVE-2023-4863 ^[3], использованной в эксплойте для iOS. Агент добавил коду аннотации -fbounds-safety, которые заставляют компилятор автоматически проверять границы буфера, предотвращая возможные переполнения.

В настоящее время CodeMender используется в исследовательских целях. DeepMind постепенно расширяет количество проектов, в которые агент вносит изменения, и планирует сотрудничать с мейнтейнерами открытых библиотек для проверки и интеграции новых патчей. В компании отмечают, что в будущем планируется публикация технических отчётов и открытие доступа к инструменту для разработчиков.

Чтобы не пропустить анонс новых материалов подпишитесь на «Голос Технократии» ^[4] — мы регулярно рассказываем о новостях про AI, LLM и RAG, а также делимся полезными мастридами и актуальными событиями.