CodeMender AI: Googles neuer Agent zum Schutz von Open Source

Um die Sicherheit von Open-Source-Projekten zu verbessern, Google DeepMind hat CodeMender eingeführt AI, A Agent, der Fehler lokalisiert, Patches vorschlägt und, gegebenenfalls problematische Fragmente der Software neu schreiben.

Mit einem vorsichtiger Ansatz, unterstützt durch die Argumentation der Gemini-ModelleDieses System zielt darauf ab, die Zeit zwischen der Entdeckung einer Schwachstelle und ihrer Behebung zu verkürzen, indem es eine automatische Überprüfung und eine menschliche Prüfung vor der Übermittlung an die Repositories integriert.

Was ist CodeMender AI?

es ist ein Ein Agent, der autonom auf großen Codebasen arbeitet, um Schwachstellen zu identifizieren, ihren Ursprung zu erklären und qualitativ hochwertige Korrekturen zu generieren.. Ziel ist es nicht nur, bestimmte Fehler zu beheben, sondern auch ganze Familien vor dem Scheitern bewahren durch Refactorings, die die Angriffsfläche reduzieren.

Dieser Vorschlag ist baut auf früheren Erkenntnissen aus dem Google-Ökosystem auf, die ausgereifte Sicherheitstechniken mit der Denkfähigkeit von Sprachmodellen, um den Kontext des Codes und seine Absicht zu verstehen.

So funktioniert der Agent

Der Workflow von CodeMender integriert mehrere koordinierte Phasen, die es ermöglichen, Änderungen zu erkennen, zu diagnostizieren und zu validieren, bevor sie an die Projektbetreuer übermittelt werden. Das System legt besonderen Wert auf die Minimierung von Fehlalarmen und Funktionalität bewahren existierend.

• Erkundung und Signalisierung: statische und dynamische Analyse sowie Unschärfe, um anomales Verhalten und gefährliche Ausführungspfade zu entdecken.
• Ausführliche Diagnose: symbolisches Denken und Elemente der formalen Verifikation für identifizieren Sie die Grundursache des Urteils, nicht nur die Symptome.
• Patch-Generierung: Vorschlag von lokalisierte Änderungen oder umfangreichere Refactorings, wenn es darum geht, wiederkehrende Fehlerklassen zu beseitigen.
• Automatische Validierung: Ein „LLM-Richter“ und kritische Agenten bewerten, ob der Patch die Funktionalität aufrechterhält, hält sich an Styleguides und vermeidet Regressionen.
• Autokorrektur: Wenn bei der Validierung Probleme festgestellt werden, iteriert auf Ihrer Lösung bevor Sie es zur endgültigen Überprüfung einreichen.

Erst wenn die internen Prüfungen zufriedenstellend sind, wird die Änderung für einen menschlichen Experten vorbereitet, der sie prüft und gegebenenfalls in die stromaufwärts entsprechend.

Erste Ergebnisse in Open Source-Projekten

In den letzten Monaten CodeMender hat 72 Sicherheitsfixes an öffentliche Repositories übermittelt, darunter einige mit über 4,5 Millionen Codezeilen., ein Volumen, bei dem der menschliche Maßstab besonders begrenzt ist.

Unter den Anwendungsfällen nennt das Team die Anwendung von Sicherheitsanmerkungen als „-fbounds-Sicherheit» in der Bibliothek libwebp eine Maßnahme, die darauf abzielt, Pufferüberläufe zu neutralisieren und die Wahrscheinlichkeit von Angriffen ähnlich wie bei früheren Vorfällen zu verringern.

Diese Eingriffe kombinieren chirurgische Anpassungen mit Designänderungen, wenn das Fehlermuster dies rechtfertigt. Stärkung der Fähigkeit der Software, zukünftigen Exploits zu widerstehen, ohne Leistung oder Lesbarkeit zu beeinträchtigen.

Menschliche Überprüfung und Zuverlässigkeit vor Geschwindigkeit

Obwohl die ersten Ergebnisse vielversprechend sind, betonen die Verantwortlichen, dass Das Projekt befindet sich in der Forschungsphase und alle vom Agenten generierten Vorschläge werden einer menschlichen Überprüfung unterzogen. bevor sie an die Betreuer gesendet werden.

Die Strategie legt den Schwerpunkt auf das Vertrauen in das Ökosystem: Änderungen werden überprüft, um sicherzustellen, dass sie die Funktionalität aufrechterhalten, die Projektrichtlinien einhalten und kein unerwünschtes Verhalten einführen, das reduziert das Risiko von Produktionsrückgängen.

Für Entwickler und Betreuer, Das operative Versprechen ist klar: weniger Zeitaufwand für die Bekämpfung wiederkehrender Schwachstellen und mehr Konzentration auf die Entwicklung hochwertiger Software., unterstützt durch eine Überprüfungsschleife, die den Mitarbeitern die ultimative Kontrolle überlässt.

Roadmap und Verfügbarkeit

Google DeepMind plant, die Zusammenarbeit mit der Open-Source-Community auszuweiten und veröffentlichen Sie zusätzliche technische Dokumentation zur Agentenarchitektur und ihren Pipeline Validierung.

Das erklärte Ziel ist Machen Sie CodeMender für Entwickler allgemeiner verfügbar, wenn es die erwartete Zuverlässigkeit erreicht., wobei der Schwerpunkt weiterhin auf Sicherheit und Verantwortung bei seiner Einführung.

Wenn es gelingt, sich zu konsolidieren, CodeMender AI Es kann zu einem täglichen Support-Tool für Teams werden, die wachsende Codebasen pflegen, und bringt die automatisierte Erkennung und Behebung näher an den Umfang heran, den moderne Open Source erfordert.

Alberto Navarro

Ich bin ein Technik-Enthusiast, der seine „Geek“-Interessen zum Beruf gemacht hat. Ich habe mehr als 10 Jahre meines Lebens damit verbracht, modernste Technologie zu nutzen und aus purer Neugier an allen möglichen Programmen herumzubasteln. Mittlerweile habe ich mich auf Computertechnik und Videospiele spezialisiert. Das liegt daran, dass ich seit mehr als fünf Jahren für verschiedene Websites zum Thema Technologie und Videospiele schreibe und Artikel erstelle, die Ihnen die Informationen, die Sie benötigen, in einer für jeden verständlichen Sprache vermitteln möchten.

Bei Fragen reicht mein Wissen von allem rund um das Windows-Betriebssystem bis hin zu Android für Mobiltelefone. Und mein Engagement gilt Ihnen, ich bin immer bereit, ein paar Minuten zu investieren und Ihnen bei der Lösung aller Fragen in dieser Internetwelt zu helfen.