Il braccio di ricerca AI di Google afferma che il nuovo strumento può mettere in sicurezza progetti open source generando patch che possono essere applicate dopo essere state revisionate da ricercatori umani.
CodeMender si basa sul modello Gemini Deep Think di DeepMind e utilizza molteplici strumenti di analisi, tra cui fuzzing, analisi statica e test differenziali, per identificare le cause profonde dei bug e prevenire regressioni.
Aiutare, non sostituire gli umani
Raluca Ada Popa, senior staff research scientist di DeepMind, e John "Four" Flynn, vicepresidente della sicurezza, hanno dichiarato che il sistema ha già fornito decine di correzioni.
"Negli ultimi sei mesi in cui abbiamo sviluppato CodeMender, abbiamo già integrato 72 correzioni di sicurezza in progetti open source, alcuni dei quali comprendono fino a 4,5 milioni di righe di codice", hanno scritto Popa e Flynn in un post sul blog di DeepMind.
L'azienda afferma che CodeMender può agire sia in modo reattivo che proattivo, riparando le falle scoperte e riscrivendo il codice per eliminare intere classi di vulnerabilità. Il sistema dovrebbe essere in grado di ridurre il carico di lavoro di manutenzione della sicurezza validando le proprie patch prima di inviarle alla revisione umana. Il passaggio della revisione è qualcosa su cui Google tiene particolarmente a insistere, sottolineando che CodeMender non è lì per sostituire gli esseri umani, ma piuttosto per agire come agente utile ed espandere il crescente volume di vulnerabilità che i sistemi automatizzati possono rilevare. In un caso, il team afferma che CodeMender ha applicato automaticamente annotazioni -fbounds-safety a parti della libreria di compressione immagini libwebp, un passo che DeepMind sostiene avrebbe prevenuto exploit passati. Le annotazioni costringono il compilatore a verificare i limiti del buffer, riducendo il rischio di attacchi basati su overflow. Gli sviluppatori riconoscono anche il crescente uso dell'AI da parte di attori malintenzionati e sostengono che i difensori hanno bisogno di strumenti equivalenti. DeepMind prevede di espandere i test con i manutentori open source e, una volta che la sua affidabilità sarà adeguatamente dimostrata, spera di rilasciare CodeMender per un uso più ampio da parte degli sviluppatori. Google ha anche rivisto il suo Secure AI Framework e lanciato un nuovo Vulnerability Reward Program per le falle legate all'AI.
