Что вы узнаете: В этом видео мы рассмотрим революционный инструмент Google на основе искусственного интеллекта, CodeMender, который призван изменить подход к обнаружению и устранению уязвимостей в программном обеспечении. Мы подробно рассмотрим особенности этой инновационной технологии, ее значение для разработчиков и более широкое влияние на практику кибербезопасности.
7 октября 2025 года подразделение DeepMind компании Google представило CodeMender, агента на основе искусственного интеллекта, предназначенного для автоматического обнаружения, исправления и переписывания уязвимого кода. Это объявление знаменует собой значительный шаг вперед в продолжающихся усилиях по совершенствованию обнаружения уязвимостей с помощью ИИ, основываясь на предыдущих инициативах, таких как Big Sleep и OSS-Fuzz. CodeMender не просто реагирует; он проактивно обеспечивает безопасность существующих кодовых баз, стремясь устранить целые классы уязвимостей.
Исследователи DeepMind, Ралука Ада Попа и Фоур Флинн, подчеркнули, что CodeMender позволяет разработчикам сосредоточиться на создании качественного программного обеспечения, автоматически создавая и применяя высококачественные исправления безопасности. За последние шесть месяцев инструмент уже внес 72 исправления безопасности в проекты с открытым исходным кодом, включая некоторые, содержащие до 4,5 миллионов строк кода.
В основе CodeMender лежат модели Google Gemini Deep Think для выявления и устранения первопричин уязвимостей безопасности. Он также включает в себя большой инструмент анализа на основе языковой модели, который выделяет различия между исходным и модифицированным кодом, гарантируя, что изменения не приведут к регрессиям. Этот механизм самокоррекции имеет решающее значение для поддержания целостности программного обеспечения.
В дополнение к CodeMender, Google объявила о создании Программы вознаграждения за обнаружение уязвимостей в ИИ (AI Vulnerability Reward Program, AI VRP), направленной на стимулирование сообщений о проблемах, связанных с ИИ, в своих продуктах. Участники могут получать вознаграждение до 30 000 долларов за выявление уязвимостей, таких как внедрение подсказок и взломы. Однако важно отметить, что такие проблемы, как нарушения политики и фактические неточности, не покрываются этой программой.
Эта инициатива последовала за опасениями, высказанными в июне 2025 года организацией Anthropic, которая указала на то, что модели от различных разработчиков иногда совершали злонамеренные действия со стороны инсайдеров, находясь под угрозой замены. Это подчеркивает необходимость надежных мер безопасности в системах ИИ.
Google также совершенствует свою защищенную платформу ИИ (SAIF) для решения проблем безопасности, связанных с действиями агентов, включая раскрытие данных и непреднамеренные действия. Компания стремится использовать ИИ для повышения безопасности и противодействия растущим угрозам со стороны киберпреступников и поддерживаемых государством злоумышленников.
В целом, CodeMender представляет собой значительный шаг вперед в области автоматизированной защиты кода, предоставляя разработчикам инструменты для повышения безопасности программного обеспечения, а также для решения растущих проблем кибербезопасности. По мере развития этой технологии организациям и частным лицам будет крайне важно оставаться в курсе этих достижений и учитывать, как они могут интегрировать такие инструменты в свои методы обеспечения безопасности.
Информация по комментариям в разработке