- CodeMender AI phát hiện, sửa chữa và viết lại mã dễ bị tấn công trong các dự án nguồn mở bằng mô hình Gemini.
- Nó kết hợp phân tích tĩnh và động, làm mờ và suy luận tượng trưng với xác thực tự động của tác nhân.
- Công ty đã gửi 72 bản sửa lỗi bảo mật tới các kho lưu trữ với tổng số hơn 4,5 triệu dòng mã.
- Tất cả các đề xuất đều được kiểm tra bởi con người trước khi tích hợp để ưu tiên độ tin cậy.
Trong một động thái nhằm mục đích tăng tốc độ bảo mật của các dự án nguồn mở, Google DeepMind đã giới thiệu CodeMender AI, Một tác nhân được thiết kế để xác định lỗi, đề xuất bản vá và, khi thích hợp, viết lại các đoạn có vấn đề của phần mềm.
Với một cách tiếp cận thận trọng được hỗ trợ bởi lý luận của các mô hình GeminiHệ thống này nhằm mục đích giảm thời gian giữa việc phát hiện lỗ hổng và việc khắc phục lỗ hổng, tích hợp xác minh tự động và đánh giá của con người trước khi gửi lên kho lưu trữ.
CodeMender AI là gì?
Đó là một Một tác nhân hoạt động tự động trên các cơ sở mã lớn để xác định lỗ hổng, giải thích nguồn gốc của chúng và tạo ra các bản sửa lỗi chất lượng cao.. Mục tiêu của nó không chỉ là sửa các lỗi cụ thể mà còn ngăn chặn toàn bộ gia đình khỏi thất bại thông qua việc tái cấu trúc giúp giảm thiểu bề mặt tấn công.
Đề xuất này là xây dựng dựa trên những bài học trước đây từ hệ sinh thái Google, kết hợp các kỹ thuật bảo mật trưởng thành với khả năng lý luận của các mô hình ngôn ngữ để hiểu bối cảnh của mã và mục đích của nó.
Cách thức hoạt động của tác nhân
Quy trình làm việc của CodeMender tích hợp nhiều giai đoạn phối hợp cho phép phát hiện, chẩn đoán và xác thực các thay đổi trước khi gửi cho người bảo trì dự án. Hệ thống đặc biệt chú trọng đến việc giảm thiểu các kết quả dương tính giả và bảo tồn chức năng hiện có.
- Khám phá và báo hiệu: phân tích tĩnh và động, cũng như làm mờ, để khám phá hành vi bất thường và đường dẫn thực thi nguy hiểm.
- Chẩn đoán chuyên sâu: lý luận tượng trưng và các yếu tố xác minh chính thức cho xác định nguyên nhân gốc rễ của phán quyết, không chỉ là các triệu chứng của nó.
- Tạo bản vá: đề xuất của những thay đổi cục bộ hoặc cải tiến toàn diện hơn khi loại bỏ các lớp lỗi thường gặp.
- Xác thực tự động: một "thẩm phán LLM" và các tác nhân quan trọng đánh giá xem bản vá có duy trì chức năng hay không, tuân thủ các hướng dẫn về phong cách và tránh sự thoái lui.
- Tự động sửa lỗi: Nếu xác thực phát hiện ra vấn đề, bản thân tác nhân lặp lại giải pháp của bạn trước khi gửi để xem xét lần cuối.
Chỉ khi tập hợp các kiểm tra nội bộ đạt yêu cầu, bản sửa đổi mới được chuẩn bị để một chuyên gia kiểm tra và nếu cần thiết, tích hợp vào thượng nguồn tương ứng.
Kết quả ban đầu trong các dự án nguồn mở
Trong vài tháng gần đây, CodeMender đã gửi 72 bản sửa lỗi bảo mật tới các kho lưu trữ công khai, trong đó có một số bản sửa lỗi dài hơn 4,5 triệu dòng mã., một thể tích mà quy mô của con người đặc biệt bị hạn chế.
Trong số các trường hợp sử dụng, nhóm nghiên cứu trích dẫn ứng dụng chú thích bảo mật là "-fbounds-an toàn» trong thư viện libwebp, một biện pháp nhằm vô hiệu hóa tình trạng tràn bộ đệm và giảm khả năng xảy ra các cuộc tấn công tương tự như các sự cố trước đây.
Những can thiệp này kết hợp các điều chỉnh phẫu thuật với những thay đổi về thiết kế khi mô hình lỗi đảm bảo điều đó, Tăng cường khả năng chống lại các cuộc tấn công trong tương lai của phần mềm mà không ảnh hưởng đến hiệu suất hoặc khả năng đọc.
Đánh giá của con người và độ tin cậy hơn tốc độ
Mặc dù kết quả đầu tiên rất hứa hẹn, những người chịu trách nhiệm nhấn mạnh rằng Dự án đang trong giai đoạn nghiên cứu và tất cả các đề xuất do tác nhân tạo ra đều được con người xem xét. trước khi được gửi đến người bảo trì.
Chiến lược này ưu tiên sự tin cậy của hệ sinh thái: các thay đổi được kiểm tra để đảm bảo chúng duy trì chức năng, tôn trọng các hướng dẫn của dự án và không đưa ra hành vi không mong muốn, giảm nguy cơ thoái lui sản xuất.
Đối với các nhà phát triển và người bảo trì, Lời hứa về mặt hoạt động rất rõ ràng: ít thời gian hơn để xử lý các lỗ hổng lặp lại và tập trung nhiều hơn vào việc xây dựng phần mềm chất lượng., được hỗ trợ bởi vòng lặp đánh giá giúp mọi người nắm quyền kiểm soát tối đa.
Lộ trình và tính khả dụng
Google DeepMind có kế hoạch mở rộng hợp tác với cộng đồng nguồn mở và công bố tài liệu kỹ thuật bổ sung về kiến trúc tác nhân và đường ống của sự xác thực.
Nguyện vọng đã nêu là Cung cấp CodeMender rộng rãi hơn cho các nhà phát triển khi đạt đến mức độ tin cậy mong đợi., duy trì sự nhấn mạnh vào an toàn và trách nhiệm trong quá trình triển khai.
Nếu nó có thể hợp nhất, Trí tuệ nhân tạo CodeMender Nó có thể trở thành công cụ hỗ trợ hàng ngày cho các nhóm duy trì cơ sở mã ngày càng mở rộng, đưa khả năng phát hiện và khắc phục tự động đến gần hơn với quy mô mà mã nguồn mở hiện đại yêu cầu.
Tôi là một người đam mê công nghệ và đã biến sở thích “đam mê” của mình thành một nghề. Tôi đã dành hơn 10 năm cuộc đời mình để sử dụng công nghệ tiên tiến và mày mò đủ loại chương trình chỉ vì tò mò. Bây giờ tôi chuyên về công nghệ máy tính và trò chơi điện tử. Điều này là do trong hơn 5 năm, tôi đã viết cho nhiều trang web khác nhau về công nghệ và trò chơi điện tử, tạo ra các bài viết nhằm cung cấp cho bạn thông tin bạn cần bằng ngôn ngữ mà mọi người đều có thể hiểu được.
Nếu bạn có bất kỳ câu hỏi nào, kiến thức của tôi bao gồm mọi thứ liên quan đến hệ điều hành Windows cũng như Android dành cho điện thoại di động. Và cam kết của tôi là với bạn, tôi luôn sẵn sàng dành một vài phút và giúp bạn giải quyết mọi thắc mắc mà bạn có thể có trong thế giới internet này.