Spoločnosť Google DeepMind predstavila nástroj umelej inteligencie s názvom CodeMender, ktorý je určený na detekciu a automatickú korekciu bezpečnostných nedostatkov v kóde pred jeho prepísaním. Tento softvérový agent, ktorý zatiaľ nie je verejne dostupný, už umožnil aplikovať 72 bezpečnostných opráv v rámci open source projektov, pričom niektoré z nich obsahujú viac ako 4,5 milióna riadkov kódu. Hlavným cieľom spoločnosti DeepMind, dcérskej spoločnosti Google zameranej na umelú inteligenciu, je zabezpečiť plne automatizovanú nápravu zraniteľností softvéru bez potreby ľudskej validácie. Nástroj bol prezentovaný 6. októbra s cieľom okamžite detegovať a eliminovať nové zraniteľnosti, následne prepísať, zabezpečiť zraniteľný kód a týmto spôsobom eliminovať celé „rodiny“ bezpečnostných rizík.
Čítajte viac Pentagón sa pre AI agentov obracia na Anthropic, Google a xAI
Funkcionalita agenta CodeMender je rozdelená do dvoch hlavných úrovní. Prvý, reakčný prístup, je zameraný na automatickú korekciu zraniteľností bezprostredne po ich objavení. Na identifikáciu hlavných príčin bezpečnostných chýb a promptné navrhnutie opravy využíva CodeMender najmä debugger a prehliadač zdrojového kódu. Druhý, proaktívny prístup, spočíva v schopnosti agenta prepísať existujúci kód s cieľom implementovať bezpečnejšie aplikačné programovacie rozhrania (API) a dátové štruktúry. Agent bol vyvinutý na základe modelu pokročilého uvažovania Google Gemini Deep Think. Na uľahčenie komplexnej analýzy kódu integruje dva kľúčové analytické nástroje. Prvý systém kombinuje metódy statickej a dynamickej analýzy, rozdielového testovania a fuzzingu (testovanie s náhodne generovanými údajmi) na podrobnú analýzu vzorcov kódu, dátových tokov a tokov riadenia. Druhý systém predstavuje sieť viacerých agentov so špecifickými úlohami. Príkladom je agent s názvom Judge LLM, ktorého úlohou je vyhodnocovať rozdiely medzi pôvodným a modifikovaným kódom s cieľom minimalizovať riziko, že vykonané zmeny budú vyžadovať následné samoopravy. Informuje o tom francúzska stránka usine-digitale.
Čítajte viac Poľsko: Slováci súťažia vo Varšave na majstrovstvách Európy v kyberbezpečnosti
V priebehu niekoľkých mesiacov bol agentom CodeMender úspešne doručených 72 bezpečnostných opráv do rôznych open source projektov, vrátane rozsiahlych kódových báz. Agent bol napríklad nasadený na aplikáciu anotácií fbound-safety v kompresnej knižnici libwebp, ktorá bola v roku 2023 predmetom zneužitia prostredníctvom útoku typu 0-klik (0-click attack). Aplikáciou týchto anotácií CodeMender umožnil pridanie kontroly hraníc do kódu. Výskumníci Raluca Ada-Popa a Four Flynn uvádzajú: „S anotáciami -fbounds-safety by táto zraniteľnosť, rovnako ako väčšina ostatných prípadov prekročenia vyrovnávacej pamäte v projekte, kde sme anotácie aplikovali, bola trvalo neschopná zneužitia.“ Spoločnosť Google DeepMind zdôrazňuje, že napriek sľubným počiatočným výsledkom zaujíma obozretný prístup s dôrazom na spoľahlivosť. V súčasnosti sú preto všetky opravy generované agentom CodeMender podrobené revízii výskumníkmi pred ich finálnym odoslaním do vývojových vetiev.
Čítajte viac Francúzsky telekomunikačný gigant Orange odhalil kybernetický útok
Divízia umelej inteligencie plánuje kontaktovať správcov open source projektov, ktorí prejavia záujem o pripravené opravy, ešte pred verejným sprístupnením samotného agenta. Prezentácia CodeMenderu je súčasťou rozsiahlejšieho strategického zamerania spoločnosti DeepMind na kybernetickú bezpečnosť. Spoločnosť paralelne vyvíja aj agenta Big Sleep, ktorého primárnym cieľom je odhaľovanie doteraz neznámych bezpečnostných chýb. V novembri minulého roka Google oznámil, že agent Big Sleep úspešne objavil neznámu zraniteľnosť v open source databázovom stroji SQLite.
