НаверхDeepMind создала ИИ CodeMender, который исправляет уязвимости до атаки
Новый инструмент CodeMender обнаруживает и чинит баги в коде, а при необходимости подключает человека для проверки.
14:42
- CodeMender автоматически генерирует исправления безопасности, проверенные ИИ, для проектов с открытым исходным кодом
- Google DeepMind утверждает, что CodeMender снижает нагрузку на уязвимости благодаря проверке кода
- DeepMind планирует более широкий релиз для разработчиков после подтверждения надежности CodeMender
Компания Google DeepMind представила CodeMender — искусственный интеллект-агент, способный автоматически обнаруживать и устранять уязвимости программного обеспечения до того, как ими воспользуются хакеры.
Исследовательское подразделение искусственного интеллекта компании Google утверждает, что новый инструмент может обеспечить безопасность проектов с открытым исходным кодом, генерируя исправления, которые можно применять после их проверки исследователями-людьми.
CodeMender создан на основе модели Gemini Deep Think от DeepMind и использует множество инструментов анализа, включая фаззинг, статический анализ и дифференциальное тестирование, для выявления основных причин ошибок и предотвращения регрессий.
Помощь, а не замена людей
Ралука Ада Попа, старший научный сотрудник DeepMind, и Джон «Фор» Флинн, вице-президент по безопасности, сообщили, что система уже внесла десятки исправлений.
«За последние шесть месяцев, пока мы разрабатывали CodeMender, мы уже внедрили 72 исправления безопасности в проекты с открытым исходным кодом, некоторые из которых содержат до 4,5 миллионов строк кода», — написали Попа и Флинн в блоге DeepMind.
Компания утверждает, что CodeMender может действовать как реактивно, так и проактивно, исправляя обнаруженные уязвимости и переписывая код для полного устранения классов уязвимостей.
В конечном итоге система должна иметь возможность снизить нагрузку по обслуживанию безопасности за счет проверки собственных исправлений перед отправкой их на проверку человеком.
Google стремится подчеркнуть важность этапа проверки, отмечая, что CodeMender не призван заменить людей, а скорее должен выступать в качестве полезного агента и расширять растущий объем уязвимостей, которые могут обнаруживать автоматизированные системы.
Команда утверждает, что в одном случае CodeMender автоматически применил аннотации -fbounds-safety к частям библиотеки сжатия изображений libwebp. По утверждению DeepMind, этот шаг позволил бы предотвратить предыдущие эксплойты.
Аннотации заставляют компилятор проверять границы буфера, снижая риск атак, основанных на переполнении.
Разработчики также признают растущее использование ИИ злоумышленниками и утверждают, что защитникам необходимы аналогичные инструменты.
DeepMind планирует расширить тестирование с участием разработчиков ПО с открытым исходным кодом и, как только его надежность будет должным образом доказана, надеется выпустить CodeMender для более широкого использования разработчиками.
Google также пересмотрела свою платформу Secure AI Framework и запустила новую программу вознаграждений за обнаружение уязвимостей, связанных с ИИ.
Лучшие онлайн-редакторы фотографий: легко улучшайте свои фотографии и цифровые творения
Подпишитесь на наши новости: