- CodeMender автоматически генерирует проверенные ИИ исправления безопасности для проектов с открытым исходным кодом.
- По данным Google DeepMind, CodeMender снижает нагрузку на уязвимости за счет проверки кода.
- DeepMind планирует предоставить его более широкому кругу разработчиков, как только будет подтверждена надежность CodeMender.
Google DeepMind представила CodeMender, агент искусственного интеллекта, который утверждает, что может автоматически обнаруживать и устранять уязвимости программного обеспечения до того, как ими воспользуются хакеры.
По данным исследовательского подразделения Google по искусственному интеллекту, новый инструмент может защитить проекты с открытым исходным кодом, генерируя исправления, которые можно применять после того, как они будут проверены исследователями.
CodeMender построен на модели Gemini Deep Think компании DeepMind и использует несколько инструментов анализа, включая фаззинг, статический анализ и дифференциальное тестирование, для выявления коренных причин дефектов и предотвращения регрессий.
Помогать, а не заменять людей
Ралука Ада Попа, старший научный сотрудник DeepMind, и Джон «Фоур» Флинн, вице-президент по безопасности, заявили, что система уже внесла десятки исправлений.
«За последние шесть месяцев разработки CodeMender мы уже загрузили 72 исправления безопасности в проекты с открытым исходным кодом, в том числе некоторые, содержащие до 4,5 миллионов строк кода», — написали Попа и Флинн в одном из своих писем. Сообщение в блоге DeepMind.
Компания заявляет, что CodeMender может действовать как реактивно, так и проактивно, исправляя обнаруженные ошибки и переписывая код для полного устранения классов уязвимостей.
В конечном итоге система должна быть способна снизить рабочую нагрузку по обслуживанию безопасности за счет проверки собственных исправлений перед отправкой их на проверку человеку.
Google стремится подчеркнуть этап проверки, указывая на то, что CodeMender не предназначен для замены людей, а скорее выступает в качестве полезного агента и добавляет к растущему количеству уязвимостей, которые могут обнаружить автоматизированные системы.
В одном случае, по словам команды, CodeMender автоматически применил аннотации -fbounds-safety к частям библиотеки сжатия изображений libwebp — шаг, который, по словам DeepMind, предотвратил бы предыдущие эксплойты.
Аннотации заставляют компилятор проверять пределы буфера, снижая риск атак на основе переполнения.
Разработчики также признают рост использования ИИ злоумышленниками и утверждают, что защитникам необходимы аналогичные инструменты.
DeepMind планирует расширить тестирование с помощью сопровождающих с открытым исходным кодом и надеется выпустить CodeMender для более широкого использования разработчиками, как только его надежность будет должным образом продемонстрирована.
Google также пересмотрела свою систему Secure AI Framework и запустила новую программу вознаграждения за уязвимости, связанные с искусственным интеллектом.
Вам также может понравиться это
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
