Лаборатория Google DeepMind опубликовала результаты работы Кодемендер — его агент искусственного интеллекта. Он может независимо идентифицировать, ремонтировать и переписать уязвимый код, чтобы предотвратить будущие эксплойты в программном обеспечении.
Как пишет Siliconangle, Codemender основан на предыдущих проектах DeepMind для поиска уязвимостей, в частности, программного обеспечения OSS-Fuzz Open и открытого программного анализа кода, сочетая интеллект техников ИИ. Основной целью проекта является автономное устранение и правильные сложные ошибки в базах крупных кодов.
Хотя проект все еще находится на этапе исследования, Codemender уже отправил 72 исправления безопасности в проекты с открытым исходным кодом, в том числе те, которые превышают 4,5 миллиона строк кода. Согласно ИИ, агент позволяет разработчикам сосредоточиться на создании качественного программного обеспечения путем автоматического генерации и применения надежных исправлений безопасности.
Система предназначена для того, чтобы быть как реактивной, так и проактивной: она не только сразу устраняет обнаруженные уязвимости, но и переписывает существующий код, исключая целые классы ошибок. Например, исследователи DeepMind цитируют работу агента AI с библиотекой сжатия изображений LIBWEBP, которая использовалась в атаке iOS в 2023 году. Агент применил к ИТ -аннотациям -фундам, а затем, по мнению исследователей, такие уязвимости с переполнением буфера стали «невозможными навсегда».
Внутренняя архитектура Codemender включает в себя набор инструментов: статический и динамический анализ, пузырь, символическая производительность и SO -обозначенный «судья LLM», который проверяет, что предлагаемые изменения сохраняют исходную функциональность.
Система способна самостоятельно, если проблема обнаружена в процессе проверки. Все изменения проверяются на правильность, соблюдение стандартов стиля и отсутствие регрессии перед отправкой. DeepMind подчеркивает, что Codemender по -прежнему является исследовательским проектом, и все полученные исправления, которые он проверяется исследователями, перед отправкой в проекты.
После введения в эксплуатацию инструмент будет предлагать другой подход, чем традиционные методы, такие как статический анализ и шаг -шаг. Новый подход изменит систему, в которой искусственный интеллект может независимо идентифицировать и устранить ошибки — критический шаг, поскольку размер и сложность современных кодов растут в геометрической прогрессии.
