- CodeMender AI виявляє, відновлює та переписує вразливий код у проектах з відкритим кодом за допомогою моделей Gemini.
- Він поєднує статичний та динамічний аналіз, фаззинг та символічне мислення з автоматичною валідацією агентами.
- Він надіслав до репозиторіїв 72 виправлення безпеки загальною кількістю понад 4,5 мільйона рядків коду.
- Усі пропозиції проходять перевірку людиною перед інтеграцією, щоб визначити пріоритет надійності.
У рамках кроку, спрямованого на пришвидшення забезпечення безпеки проектів з відкритим кодом, Google DeepMind представила CodeMender AI, а агент, призначений для виявлення несправностей, пропонування виправлень та, де це доречно, переписати проблемні фрагменти програмного забезпечення.
З обережний підхід, що підтримується міркування моделей GeminiЦя система має на меті скоротити час між виявленням вразливості та її виправленням, інтегруючи автоматичну перевірку та перевірку людиною перед будь-якою передачею до репозиторіїв.
Що таке штучний інтелект CodeMender?
Це Агентний агент, який працює автономно на великих базах коду для виявлення вразливостей, пояснення їх походження та створення високоякісних виправлень.Його метою є не лише виправлення конкретних помилок, але й запобігти невдачам цілих сімей за допомогою рефакторингу, що зменшує поверхню атаки.
Ця пропозиція є спирається на попередні знання, отримані в екосистемі Google, поєднуючи зрілі методи безпеки з здатність міркувати мовних моделей для розуміння контексту коду та його наміру.
Як працює агент
Робочий процес CodeMender об'єднує кілька скоординованих етапів, які дозволяють виявляти, діагностувати та перевіряти зміни перед їх поданням розробникам проекту. Система приділяє особливу увагу мінімізації хибнопозитивних результатів та зберегти функціональність існуючий.
- Розвідка та сигналізація: статичний та динамічний аналіз, а також розпушення, щоб виявити аномальну поведінку та небезпечні шляхи виконання.
- Поглиблена діагностикасимволічне мислення та елементи формальної верифікації для визначити першопричина постанови, а не лише його симптоми.
- Генерація патчівпропозиція локальні зміни або більш масштабні рефакторинги, коли йдеться про усунення повторюваних класів помилок.
- Автоматична перевірка: «суддя LLM» та критичні агенти оцінюють, чи підтримує патч функціональність, відповідає стилістичним посібникам та уникає регресій.
- Автокорекція: Якщо під час перевірки виявляється проблема, сам агент виконує ітерації над вашим рішенням перш ніж подавати його на остаточний розгляд.
Тільки коли набір внутрішніх перевірок є задовільним, модифікацію готують для перевірки експертом-людиною та, за необхідності, інтеграції її в вище за течією відповідний.
Перші результати проектів з відкритим кодом
Протягом останніх кількох місяців, CodeMender надіслав 72 виправлення безпеки до публічних репозиторіїв, деякі з яких містять понад 4,5 мільйона рядків коду., обсяг, де людський масштаб особливо обмежений.
Серед випадків використання команда називає застосування анотацій безпеки як «-fbounds-безпека» у бібліотеці libwebp, захід, спрямований на нейтралізацію переповнення буфера та зменшення ймовірності атак, подібних до попередніх інцидентів.
Ці втручання поєднують хірургічні корекції зі змінами дизайну, коли цього вимагає характер помилок, Посилення здатності програмного забезпечення протистояти майбутнім експлойтам без шкоди для продуктивності чи читабельності.
Перевірка людиною та надійність понад швидкість
Хоча перші результати є багатообіцяючими, відповідальні особи наголошують на тому, що Проєкт перебуває на стадії дослідження, і всі пропозиції, згенеровані агентом, проходять перевірку людиною. перед відправкою до відповідальних осіб.
Стратегія надає пріоритет довірі екосистеми: зміни перевіряються, щоб забезпечити їхню функціональність, відповідність інструкціям проекту та відсутність небажаної поведінки, що зменшує ризик регресії виробництва.
Для розробників та фахівців з підтримки, Операційна перспектива зрозуміла: менше часу на боротьбу з повторюваними вразливостями та більше зосередження на створенні якісного програмного забезпечення., що підтримується циклом перегляду, який забезпечує повний контроль над процесом у людей.
Дорожня карта та доступність
Google DeepMind планує розширити співпрацю зі спільнотою відкритого коду та опублікувати додаткову технічну документацію щодо архітектури агента та його трубопровід валідації.
Заявлене прагнення є Зробіть CodeMender ширше доступним для розробників, коли він досягне очікуваного рівня надійності., зберігаючи акцент на безпеці та відповідальність у його розгортанні.
Якщо йому вдасться консолідуватися, Штучний інтелект CodeMender Він може стати щоденним інструментом підтримки для команд, які обслуговують зростаючі кодові бази, наближаючи автоматизоване виявлення та виправлення до масштабів, яких вимагає сучасне програмне забезпечення з відкритим вихідним кодом.
Я ентузіаст технологій, який перетворив свої "гікові" інтереси на професію. Я провів понад 10 років свого життя, користуючись передовими технологіями та возячись із усіма видами програм із чистої цікавості. Зараз я спеціалізуюся на комп’ютерних технологіях та відеоіграх. Це тому, що більше 5 років я писав для різних веб-сайтів про технології та відеоігри, створюючи статті, які прагнуть надати вам необхідну інформацію мовою, зрозумілою для всіх.
Якщо у вас є запитання, я знаю все, що стосується операційної системи Windows, а також Android для мобільних телефонів. І я зобов’язаний перед вами, я завжди готовий витратити кілька хвилин і допомогти вам вирішити будь-які запитання, які можуть виникнути в цьому світі Інтернету.