CodeMender AI: オープンソースを保護するための Google の新しいエージェント

オープンソースプロジェクトのセキュリティ強化を目的とした動きとして、 Google DeepMindはCodeMenderを導入しましたAI、a 障害の特定、パッチの提案、適切な場合には、 ソフトウェアの問題のある部分を書き直す.

と 慎重なアプローチは、ジェミニモデルの推論このシステムは、リポジトリに送信する前に自動検証と人間によるレビューを統合し、脆弱性の発見から修正までの時間を短縮することを目的としています。

CodeMender AIとは何ですか？

それは 大規模なコードベース上で自律的に動作し、脆弱性を特定し、その原因を説明し、高品質の修正を生成するエージェント。その目的は特定のエラーを修正するだけでなく、 家族全体の失敗を防ぐ 攻撃対象領域を減らすリファクタリングを通じて。

この提案は Googleエコシステムから得た過去の学びを基に構築成熟したセキュリティ技術と 推理力 言語モデルを使用して、コードのコンテキストと意図を理解します。

エージェントの仕組み

CodeMenderのワークフローは、複数の段階を連携させ、変更をプロジェクト管理者に提出する前に検出、診断、検証できるようにします。このシステムは、誤検知を最小限に抑えることに特に重点を置いています。 機能性を維持する 既存。

• 探索とシグナリング: 静的および動的解析、および ファジング異常な動作や危険な実行パスを検出します。
• 詳細な診断: 記号的推論と形式的検証の要素 特定する根本的な原因判決の症状だけではありません。
• パッチ生成：提案 ローカライズされた変更 あるいは、繰り返し発生するバグのクラスを排除する場合、より大規模なリファクタリングが必要になります。
• 自動検証：「LLMジャッジ」と重要なエージェントがパッチが機能性を維持しているかどうかを評価します。 スタイルガイドに準拠し、後退を回避します.
• 自動修正: 検証で問題が検出された場合、エージェント自体が ソリューションを反復する 最終審査のために提出する前に。

内部チェックが満足できるものになった場合にのみ、変更は人間の専門家によって検査され、必要に応じて統合される。 上流 対応する。

オープンソースプロジェクトの初期結果

ここ数ヶ月、 CodeMender は、4,5 万行を超えるコードを含む 72 件のセキュリティ修正を公開リポジトリに送信しました。人間のスケールが特に制限されるボリュームです。

ユースケースの中で、チームはセキュリティ注釈の適用を次のように挙げています。-fbounds-safety» libwebp ライブラリでは、バッファ オーバーフローを無効化し、以前のインシデントと同様の攻撃の可能性を減らすことを目的とした対策が講じられています。

これらの介入は、エラーパターンがそれを正当化する場合、外科的調整と設計変更を組み合わせたものである。 パフォーマンスや可読性を犠牲にすることなく、将来の攻撃に対抗するソフトウェアの能力を強化する.

スピードよりも人間によるレビューと信頼性

最初の結果は有望ではあるものの、責任者らは プロジェクトは研究段階にあり、エージェントによって生成されたすべての提案は人間によるレビューを受けます。 メンテナーに送信される前に。

この戦略はエコシステムの信頼を優先します。変更は機能性を維持し、プロジェクトのガイドラインを尊重し、望ましくない動作を導入しないことを保証するためにチェックされます。 生産回帰のリスクを軽減.

開発者とメンテナーにとって、 運用上の約束は明確です。繰り返し発生する脆弱性への対処に費やす時間を減らし、高品質なソフトウェアの構築に注力できるようになります。人々が最終的な制御を維持できるようにするレビュー ループによってサポートされています。

ロードマップと可用性

Google DeepMindはオープンソースコミュニティとの連携を拡大する予定 エージェントアーキテクチャとその機能に関する追加の技術文書を公開する パイプライン 検証の。

表明された願望は CodeMender が期待される信頼性レベルに達したら、開発者が CodeMender をより広く利用できるようにします。安全性を重視し、 責任 展開中。

もし統合に成功したら、 コードメンダーAI これは、増大するコードベースを維持するチームにとって日常的なサポート ツールとなり、自動検出と修復を現代のオープン ソースが要求する規模に近づけます。