- CodeMender AI upptäcker, reparerar och skriver om sårbar kod i öppen källkodsprojekt med Gemini-modeller.
- Den kombinerar statisk och dynamisk analys, fuzzing och symboliskt resonemang med automatisk validering av agenter.
- Den har skickat in 72 säkerhetsfixar till repositories på totalt över 4,5 miljoner rader kod.
- Alla förslag granskas av människor före integration för att prioritera tillförlitlighet.
I ett drag som syftar till att påskynda säkerheten för öppen källkodsprojekt, Google DeepMind har introducerat CodeMender AI, en agent utformad för att lokalisera fel, föreslå korrigeringar och, där så är lämpligt, skriva om problematiska fragment av programvaran.
Med en försiktig strategi som stöds av resonemang kring Gemini-modellernaDetta system syftar till att minska tiden mellan upptäckten av en sårbarhet och dess korrigering, genom att integrera automatisk verifiering och mänsklig granskning innan någon information skickas till datalagren.
Vad är CodeMender AI?
Det är en En agent som arbetar autonomt på stora kodbaser för att identifiera sårbarheter, förklara deras ursprung och generera högkvalitativa korrigeringar.Dess mål är inte bara att åtgärda specifika fel, utan också förhindra att hela familjer misslyckas genom omstruktureringar som minskar attackytan.
Detta förslag är bygger på tidigare lärdomar från Googles ekosystem, som kombinerar mogna säkerhetstekniker med resonemangsförmåga av språkmodeller för att förstå kodens sammanhang och dess avsikt.
Hur agenten fungerar
CodeMenders arbetsflöde integrerar flera samordnade steg som gör att ändringar kan upptäckas, diagnostiseras och valideras innan de skickas till projektansvariga. Systemet lägger särskild vikt vid att minimera falska positiva resultat och bevara funktionaliteten existerande.
- Utforskning och signaleringstatisk och dynamisk analys, samt fuzzing, för att upptäcka avvikande beteenden och farliga exekveringsvägar.
- Djupgående diagnossymboliskt resonemang och inslag av formell verifiering för identifiera causa raíz del fallo, inte bara dess symtom.
- Patchgenereringförslag från lokaliserade förändringar eller mer omfattande omstruktureringar när det gäller att eliminera återkommande typer av buggar.
- Automatisk valideringen "LLM-domare" och kritiska agenter utvärderar om patchen bibehåller funktionaliteten, följer stilguider och undviker regressioner.
- AutokorrigeringOm valideringen upptäcker problem, kommer agenten själv itererar på din lösning innan den skickas in för slutlig granskning.
Först när de interna kontrollerna är tillfredsställande förbereds modifieringen för att en mänsklig expert ska granska den och, om nödvändigt, integrera den i upstream motsvarande.
Inledande resultat i öppen källkodsprojekt
Under de senaste månaderna, CodeMender har skickat in 72 säkerhetsfixar till offentliga repositories, inklusive några med över 4,5 miljoner rader kod., en volym där den mänskliga skalan är särskilt begränsad.
Bland användningsfallen nämner teamet tillämpningen av säkerhetsannoteringar som "-fbounds-säkerhet» i libwebp-biblioteket, en åtgärd som syftar till att neutralisera buffertöverflöden och minska sannolikheten för attacker liknande tidigare incidenter.
Dessa ingrepp kombinerar kirurgiska justeringar med designändringar när felmönstret motiverar det, Stärka programvarans förmåga att motstå framtida angrepp utan att offra prestanda eller läsbarhet.
Mänsklig granskning och tillförlitlighet framför hastighet
Även om de första resultaten är lovande betonar de ansvariga att Projektet är i forskningsfasen och alla förslag som genereras av agenten genomgår mänsklig granskning. innan de skickas till underhållarna.
Strategin prioriterar ekosystemets förtroende: förändringar kontrolleras för att säkerställa att de bibehåller funktionalitet, respekterar projektets riktlinjer och inte introducerar oönskat beteende, vilket minskar risken för produktionsregressioner.
För utvecklare och underhållare, Det operativa löftet är tydligt: mindre tid på att bekämpa repetitiva sårbarheter och mer fokus på att bygga programvara av hög kvalitet., stödd av en granskningsslinga som ger människor den slutgiltiga kontrollen.
Färdplan och tillgänglighet
Google DeepMind planerar att utöka samarbetet med öppen källkod-communityn och publicera ytterligare teknisk dokumentation om agentarkitekturen och dess pipeline av validering.
Den uttalade ambitionen är Gör CodeMender mer tillgängligt för utvecklare när det når förväntade tillförlitlighetsnivåer., med bibehållen betoning på säkerhet och ansvar en su despliegue.
Om det lyckas konsolidera sig, CodeMender AI Det kan bli ett dagligt stödverktyg för team som underhåller växande kodbaser, vilket gör att automatiserad detektering och åtgärdande blir närmare den skala som modern öppen källkod kräver.
Jag är en teknikentusiast som har gjort sina "nördar"-intressen till ett yrke. Jag har tillbringat mer än 10 år av mitt liv med att använda den senaste tekniken och mixtrat med alla typer av program av ren nyfikenhet. Nu har jag specialiserat mig på datateknik och tv-spel. Detta beror på att jag i mer än 5 år har arbetat med att skriva för olika webbplatser om teknik och videospel, skapa artiklar som försöker ge dig den information du behöver på ett språk som är begripligt för alla.
Om du har några frågor sträcker sig min kunskap från allt som rör operativsystemet Windows samt Android för mobiltelefoner. Och mitt engagemang är för dig, jag är alltid villig att spendera några minuter och hjälpa dig att lösa alla frågor du kan ha i den här internetvärlden.