Google DeepMind представила CodeMender — нового искусственного агента, предназначенного для автоматического поиска и устранения уязвимостей в программном обеспечении. Разработка основана на модели Gemini Deep Think и сочетает два подхода к безопасности: реактивный, при котором агент оперативно исправляет выявленные уязвимости, и проактивный, когда он переписывает участки кода, повышая их устойчивость к потенциальным атакам.
По данным Google, за последние шесть месяцев CodeMender уже внёс 72 исправления безопасности в открытые проекты, включая репозитории объёмом до 4,5 миллиона строк кода. Все изменения проходят проверку исследователей перед отправкой в основные ветки.
CodeMender работает как автономный агент, способный анализировать и модифицировать код с помощью набора инструментов, включающих статический и динамический анализ, fuzzing, дифференциальное тестирование и SMT-солверы. Для повышения точности применяются специализированные подагенты, которые проверяют корректность исправлений, выявляют возможные регрессии и автоматически вносят корректировки. Агент также использует собственную систему валидации, которая позволяет фильтровать некачественные патчи и передавать на ручное ревью только проверенные изменения.
Одним из примеров применения CodeMender стал проект по улучшению безопасности библиотеки libwebp, ранее известной из-за уязвимости CVE-2023-4863, использованной в эксплойте для iOS. Агент добавил коду аннотации -fbounds-safety, которые заставляют компилятор автоматически проверять границы буфера, предотвращая возможные переполнения.
В настоящее время CodeMender используется в исследовательских целях. DeepMind постепенно расширяет количество проектов, в которые агент вносит изменения, и планирует сотрудничать с мейнтейнерами открытых библиотек для проверки и интеграции новых патчей. В компании отмечают, что в будущем планируется публикация технических отчётов и открытие доступа к инструменту для разработчиков.
Чтобы не пропустить анонс новых материалов подпишитесь на «Голос Технократии» — мы регулярно рассказываем о новостях про AI, LLM и RAG, а также делимся полезными мастридами и актуальными событиями.
Источник: habr.com