Google DeepMind тестує ІІ-агента для автоматичного виправлення вразливостей у коді
Arkadiy Andrienko
Підрозділ Google DeepMind представив результати роботи свого нового дослідницького проєкту — системи CodeMender, яка здатна самостійно знаходити та виправляти вразливості в програмному забезпеченні і на відміну від інструментів, які лише вказують на проблему, цей ІІ-агент випускає патчі. На поточному етапі проєкт залишається дослідницьким, але вже має практичні результати. CodeMender вже створив більше 70 виправлень для проєктів з відкритим вихідним кодом, при цьому деякі з цих патчів стосувалися кодобаз обсягом понад 4,5 мільйона рядків.
Як зазначають розробники, задача системи — не просто реагувати на виявлені недоліки, але й переписувати код так, щоб виключити появу цілих класів вразливостей у майбутньому. Як приклад наводиться робота з бібліотекою libwebp, яка була залучена в одну з масштабних атак на iOS у 2023 році. CodeMender автоматично додав у її код спеціальні анотації, які, за словами дослідників, назавжди блокують можливість експлуатації вразливостей, пов'язаних з переповненням буфера.
Процес виправлення не зводиться до простої заміни кількох рядків. Система використовує комплекс інструментів, включаючи статичний аналіз і фаззинг, а спеціальний модуль-«суддя» перевіряє, чи не порушують вносимі правки вихідну логіку програми.
Важливо, що всі зміни, які генерує штучний інтелект, обов'язково проходять вибіркову перевірку живими розробниками перед тим, як їх направлять авторам вихідного коду, що дозволяє мінімізувати ризики і слугує додатковим навчанням для самої нейромережі.
Якщо проєкт вийде з стадії досліджень, він може змінити підхід до безпеки ПЗ. Традиційні методи знаходять «діри», але їх латання все ще вимагає значних зусиль людини, а CodeMender пропонує шлях до автоматизації цього процесу, що стає критично важливим у міру зростання обсягу і складності сучасного коду.
