- CodeMender AI zazna, popravi in prepiše ranljivo kodo v odprtokodnih projektih z modeli Gemini.
- Združuje statično in dinamično analizo, fuzzing in simbolno sklepanje z avtomatskim preverjanjem s strani agentov.
- V repozitorije je poslal 72 varnostnih popravkov, ki skupaj znašajo več kot 4,5 milijona vrstic kode.
- Vsi predlogi so pred integracijo pregledani s strani človeka, da se določi prednost zanesljivosti.
V okviru akcije, katere cilj je pospešiti varnost odprtokodnih projektov, Google DeepMind je predstavil CodeMender AI, En agent, namenjen iskanju napak, predlaganju popravkov in, kjer je to primerno, prepisati problematične dele programske opreme.
Z previden pristop, ki ga podpira sklepanje o modelih GeminiTa sistem si prizadeva skrajšati čas med odkritjem ranljivosti in njeno odpravo, saj vključuje samodejno preverjanje in človeški pregled pred kakršno koli oddajo v repozitorije.
Kaj je umetna inteligenca CodeMender?
Gre Agentni agent, ki deluje avtonomno na velikih kodnih bazah, da bi prepoznal ranljivosti, pojasnil njihov izvor in ustvaril visokokakovostne popravke.Njegov cilj ni le odpravljanje specifičnih napak, temveč tudi preprečiti neuspehe celih družin z refaktoriranjem, ki zmanjša površino napada.
Ta predlog je temelji na prejšnjih spoznanjih iz Googlovega ekosistema, ki združuje zrele varnostne tehnike z sposobnost sklepanja jezikovnih modelov za razumevanje konteksta kode in njenega namena.
Kako deluje agent
Delovni tok CodeMenderja združuje več usklajenih faz, ki omogočajo zaznavanje, diagnosticiranje in potrjevanje sprememb, preden so te predložene vzdrževalcem projekta. Sistem daje poseben poudarek zmanjševanju lažno pozitivnih rezultatov in ohraniti funkcionalnost obstoječih.
- Raziskovanje in signalizacija: statična in dinamična analiza, kot tudi fužiranje, da odkrijejo anomalno vedenje in nevarne poti izvajanja.
- Poglobljena diagnozasimbolno sklepanje in elementi formalnega preverjanja za prepoznati glavni vzrok neuspeha, ne le njenih simptomov.
- Generiranje popravkovpredlog lokalizirane spremembe ali obsežnejše refaktoriranje, ko gre za odpravo ponavljajočih se razredov hroščev.
- Samodejno preverjanje: "sodnik LLM" in kritični agenti ocenijo, ali popravek ohranja funkcionalnost, upošteva slogovne vodnike in se izogiba nazadovanju.
- Samodejni popravekČe validacija odkrije težave, sam agent ponavlja vašo rešitev preden ga oddate v končni pregled.
Šele ko je niz notranjih preverjanj zadovoljiv, se sprememba pripravi za pregled s strani človeškega strokovnjaka in po potrebi njeno vključitev v gorvodno ustreza.
Prvi rezultati odprtokodnih projektov
V zadnjih mesecih CodeMender je v javna skladišča poslal 72 varnostnih popravkov, vključno z nekaterimi z več kot 4,5 milijona vrstic kode., prostornina, kjer je človeški obseg še posebej omejen.
Med primeri uporabe ekipa navaja uporabo varnostnih opomb kot "-fbounds-varnost» v knjižnici libwebp ukrep, namenjen nevtralizaciji preobremenitev medpomnilnika in zmanjšanju verjetnosti napadov, podobnih prejšnjim incidentom.
Ti posegi združujejo kirurške prilagoditve s spremembami zasnove, kadar vzorec napak to zahteva, Krepitev sposobnosti programske opreme, da se upre prihodnjim izkoriščanjem, ne da bi pri tem žrtvovali zmogljivost ali berljivost.
Človeški pregled in zanesljivost pred hitrostjo
Čeprav so prvi rezultati obetavni, odgovorni poudarjajo, da Projekt je v fazi raziskav in vsi predlogi, ki jih ustvari agent, so podvrženi človeškemu pregledu. preden se pošljejo vzdrževalcem.
Strategija daje prednost zaupanju v ekosistem: spremembe se preverjajo, da se zagotovi ohranjanje funkcionalnosti, spoštovanje smernic projekta in ne povzroča neželenega vedenja, kar zmanjšuje tveganje za nazadovanje proizvodnje.
Za razvijalce in vzdrževalce, Operativna obljuba je jasna: manj časa za boj proti ponavljajočim se ranljivostim in več osredotočenosti na gradnjo kakovostne programske opreme., ki ga podpira zanka pregledovanja, ki ljudem omogoča popoln nadzor.
Načrt in razpoložljivost
Google DeepMind načrtuje razširitev sodelovanja s skupnostjo odprte kode in objaviti dodatno tehnično dokumentacijo o arhitekturi agenta in njeni plinovod validacije.
Izražena težnja je CodeMender naj bo širše dostopen razvijalcem, ko bo dosegel pričakovano raven zanesljivosti., pri čemer ohranja poudarek na varnosti in odgovornost pri njegovi uvedbi.
Če se uspe konsolidirati, CodeMender AI Lahko postane vsakodnevno podporno orodje za ekipe, ki vzdržujejo rastoče kodne baze, s čimer se avtomatizirano zaznavanje in sanacija približa obsegu, ki ga zahteva sodobna odprtokodna programska oprema.
Sem tehnološki navdušenec, ki je svoja "geek" zanimanja spremenil v poklic. Več kot 10 let svojega življenja sem porabil za uporabo vrhunske tehnologije in premleval najrazličnejše programe iz čiste radovednosti. Zdaj sem se specializiral za računalniško tehnologijo in video igre. To je zato, ker že več kot 5 let pišem za različna spletna mesta o tehnologiji in video igrah ter ustvarjam članke, ki vam želijo dati informacije, ki jih potrebujete, v jeziku, ki je razumljiv vsem.
Če imate kakršna koli vprašanja, moje znanje sega od vsega v zvezi z operacijskim sistemom Windows kot tudi Androidom za mobilne telefone. In moja zaveza je vam, vedno sem pripravljen porabiti nekaj minut in vam pomagati razrešiti kakršna koli vprašanja, ki jih morda imate v tem internetnem svetu.