DeepMind CodeMender — ИИ для автоматического исправления уязвимостей

DeepMind представила ИИ-агент CodeMender для автоматического исправления уязвимостей в коде. За полгода система отправила 72 фикса в open source проекты.

Оглавление

Как работает CodeMender
Примеры работы системы
Проактивное улучшение безопасности
Осторожный подход к внедрению

Как сообщает DeepMind, их новый ИИ-агент CodeMender уже за полгода работы отправил 72 исправления безопасности в open source проекты, включая кодбазы объемом до 4,5 миллионов строк.

Как работает CodeMender

Система использует возможности моделей Gemini Deep Think для создания автономного агента, способного находить и исправлять сложные уязвимости. CodeMender оснащен инструментами для анализа кода до внесения изменений и автоматической валидации этих изменений.

Ключевые технические особенности включают:

Расширенный программный анализ: статический и динамический анализ, дифференциальное тестирование, фаззинг и SMT-решатели
Многоагентные системы: специализированные агенты для решения конкретных аспектов проблем
Автоматическая валидация: проверка изменений на функциональную корректность и отсутствие регрессий

Примеры работы системы

В одном из случаев агент обнаружил переполнение буфера в куче, но настоящей причиной оказалась некорректная работа со стеком при парсинге XML-элементов. В другом примере система справилась со сложной проблемой времени жизни объектов и модифицировала кастомную систему генерации C-кода.

Проактивное улучшение безопасности

CodeMender также способен проактивно переписывать существующий код для использования более безопасных структур данных и API. Например, система применяла аннотации -fbounds-safety к библиотеке libwebp, что могло бы предотвратить эксплуатацию уязвимости CVE-2023-4863, использованной в zero-click iOS эксплойте.

Технически впечатляюще, но пока рано говорить о массовом внедрении. 72 исправления за полгода — это капля в море для мировой open source экосистемы. Главный вопрос: как система масштабируется на тысячи проектов с разной архитектурой и как справляется с ложными срабатываниями. Пока все патчи проходят человеческий ревью — и это правильно, учитывая критичность изменений.

Осторожный подход к внедрению

DeepMind подчеркивает осторожный подход к развертыванию технологии. Все сгенерированные патчи проходят проверку исследователями перед отправкой в работу. Компания постепенно увеличивает объем работы и систематически учитывает обратную связь от open source сообщества.

В ближайшие месяцы ожидаются технические публикации с подробностями методов и результатов. CodeMender представляет лишь начало исследования потенциала ИИ для улучшения программной безопасности.

Новости

DeepMind представила CodeMender — ИИ-агент для исправления уязвимостей в коде

Как работает CodeMender

Примеры работы системы

Проактивное улучшение безопасности

Осторожный подход к внедрению

Еще интереснее

Helion — высокоуровневый DSL для создания производительных и портируемых ядер ML

PyTorch выпустила torchcomms — API для распределенных вычислений на сотни тысяч GPU

PyTorch и Lightning AI объединяют усилия для упрощения распределенного обучения

Фреймворк Ray присоединяется к PyTorch Foundation для создания единого стека распределенных вычислений ИИ

Оставить комментарий