Google DeepMind тестирует ИИ-агента для автоматического исправления уязвимостей в коде
Arkadiy Andrienko
Подразделение Google DeepMind представило результаты работы своего нового исследовательского проекта — системы CodeMender, которая способна самостоятельно находить и исправлять уязвимости в программном обеспечении и в отличие от инструментов, которые лишь указывают на проблему, этот ИИ-агент выпускает патчи. На текущем этапе проект остается исследовательским, но уже имеет практические результаты. CodeMender уже создал более 70 исправлений для проектов с открытым исходным кодом, при этом некоторые из этих патчей затрагивали кодобазы объемом свыше 4,5 миллионов строк.
Как отмечают разработчики, задача системы — не просто реагировать на обнаруженные недочеты, но и переписывать код так, чтобы исключить появление целых классов уязвимостей в будущем. В качестве примера приводится работа с библиотекой libwebp, которая была вовлечена в одну из масштабных атак на iOS в 2023 году. CodeMender автоматически добавил в ее код специальные аннотации, которые, по словам исследователей, навсегда блокируют возможность эксплуатации уязвимостей, связанных с переполнением буфера.
Процесс исправления не сводится к простой замене нескольких строк. Система использует комплекс инструментов, включая статический анализ и фаззинг, а специальный модуль-«судья» проверяет, не нарушают ли вносимые правки исходную логику программы.
Важно, что все изменения, которые генерирует искусственный интеллект, в обязательном порядке проходят выборочную проверку живыми разработчиками перед тем, как их направят авторам исходного кода, что позволяет минимизировать риски и служит дополнительным обучением для самой нейросети.
Если проект выйдет из стадии исследований, он может изменить подход к безопасности ПО. Традиционные методы находят «дыры», но их латание все еще требует значительных усилий человека, а CodeMender предлагает путь к автоматизации этого процесса, что становится критически важным по мере роста объема и сложности современного кода.
