- CodeMender AI 使用 Gemini 模型偵測、修復和重寫開源專案中的易受攻擊的程式碼。
- 它將靜態和動態分析、模糊測試和符號推理與代理自動驗證相結合。
- 它已向儲存庫提交了 72 個安全修復程序,總計超過 4,5 萬行程式碼。
- 所有提案在整合前都要經過人工審查,以確保可靠性。
為了加速開源專案的安全性, Google DeepMind 推出了 CodeMender AI一 代理旨在定位故障、提出補丁和,在適當的情況下, 重寫軟體中有問題的部分.
隨著 謹慎的態度得到了 雙子座模型的推理該系統旨在縮短發現漏洞和糾正漏洞之間的時間,在將任何內容提交到儲存庫之前整合自動驗證和手動審查。
什麼是 CodeMender AI?
這是一個 在大型程式碼庫上自主運行的代理,用於識別漏洞、解釋其來源並產生高品質的修復。其目標不僅是修復特定的錯誤,而且 防止整個家庭失敗 透過重構來減少攻擊面。
此提案 建立在Google生態系統先前的經驗之上,結合成熟的安全技術與 推理能力 語言模型來理解程式碼的上下文及其意圖。
代理如何工作
CodeMender 的工作流程整合了多個協調階段,允許在提交給專案維護人員之前檢測、診斷和驗證變更。該系統特別注重最大限度地減少誤報和 保留功能 現有的。
- 探索和信號:靜態和動態分析,以及 模糊,發現異常行為和危險的執行路徑。
- 深入診斷:符號推理與形式驗證的要素 識別 根本原因 失敗的,而不僅僅是它的症狀。
- 補丁生成:提案 在地化變更 或在消除重複出現的錯誤時進行更廣泛的重構。
- 自動驗證:「LLM 法官」和關鍵代理評估補丁是否保持功能性, 符合風格指南並避免回歸.
- 自動改正:如果驗證偵測到問題,代理本身 迭代你的解決方案 在提交最終審核之前。
只有當內部檢查令人滿意時,修改才會準備好供人類專家檢查,並在必要時將其整合到 上游 因此。
開源專案初步成果
在過去的幾個月裡, CodeMender 已向公共儲存庫提交了 72 個安全性修復程序,其中一些修復程式包含超過 4,5 萬行程式碼。,其中人類規模特別有限。
在用例中,團隊將安全註釋的應用列為“-fbounds-safety» 在 libwebp 函式庫中,採取了一項旨在消除緩衝區溢位並降低與先前事件類似的攻擊可能性的措施。
當錯誤模式需要時,這些介入措施會將手術調整與設計變更結合起來, 在不犧牲效能或可讀性的前提下,增強軟體抵禦未來攻擊的能力.
人工審核和可靠性高於速度
儘管初步結果令人鼓舞,但負責人強調 該計畫處於研究階段,代理產生的所有提案均需經過人工審查。 在發送給維護人員之前。
此策略優先考慮生態系統信任:檢查變更以確保其保持功能性、遵守專案指南,並且不會引入不良行為, 降低生產倒退的風險.
對於開發人員和維護人員來說, 營運承諾很明確:減少對抗重複漏洞的時間,而將更多精力放在建立高品質軟體上。,並由審查循環支持,讓人們擁有最終的控制權。
路線圖和可用性
Google DeepMind 計畫擴大與開源社群的合作 並發布有關代理架構及其 管道 的驗證。
所表達的願望是 當 CodeMender 達到預期的可靠性水平時,它將更廣泛地提供給開發人員。,繼續強調安全和 責任 在其部署中。
如果它能夠鞏固, CodeMender AI 它可以成為維護不斷增長的程式碼庫的團隊的日常支援工具,使自動檢測和修復更接近現代開源所要求的規模。
我是一名技術愛好者,已將自己的“極客”興趣變成了職業。出於純粹的好奇心,我花了 10 多年的時間使用尖端技術並修改各種程序。現在我專攻電腦技術和電玩遊戲。這是因為五年多來,我一直在為各種技術和視頻遊戲網站撰寫文章,力求以每個人都能理解的語言為您提供所需的資訊。
如果您有任何疑問,我的知識範圍涵蓋與 Windows 作業系統以及手機 Android 相關的所有內容。我對您的承諾是,我總是願意花幾分鐘幫助您解決在這個網路世界中可能遇到的任何問題。