Google DeepMind prezanton CodeMender, një agjent AI që korrigjon në mënyrë autonome dobësitë e softuerit
Laboratori Google DeepMind i Alphabet Inc. ndau sot rezultatet për CodeMender, një agjent i mundësuar nga inteligjenca artificiale që zbulon, përditëson dhe rishkruan automatikisht kodin e cenueshëm për të parandaluar shfrytëzime të ardhshme.
CodeMember ndërton mbi projektet e mëparshme të DeepMind për zbulimin e dobësive të bazuara në inteligjencën artificiale, të tilla si Big Sleep dhe OSS-Fuzz, duke kombinuar fuqinë e arsyetimit të modeleve Gemini Deep Think me teknikat e përparuara të analizës së programit. Qëllimi është të debugohen dhe riparohen të metat komplekse të sigurisë në mënyrë autonome nëpër bazat masive të kodit.
Ndërkohë që është ende vetëm në fazën e kërkimit, CodeMender ka paraqitur tashmë 72 rregullime sigurie për projekte me burim të hapur, duke përfshirë ato që përfshijnë më shumë se 4.5 milion rreshta kodi. Sipas DeepMind, agjenti i CodeMender i mundësuar nga inteligjenca artificiale i ndihmon zhvilluesit dhe mirëmbajtësit të përqendrohen në atë që bëjnë më mirë – ndërtimin e softuerëve të mirë – duke krijuar dhe aplikuar automatikisht arna sigurie me cilësi të lartë.
CodeMender është projektuar të jetë si reaktiv ashtu edhe proaktiv duke rregulluar menjëherë dobësitë e zbuluara dhe gjithashtu duke rishkruar kodin ekzistues për të eliminuar klasa të tëra të metash.
Në një shembull, agjenti aplikoi shënime “-fbounds-safety” në bibliotekën e kompresimit të imazheve libwebp, e njëjta bibliotekë e shfrytëzuar në një sulm zero-click të iOS në vitin 2023. Duke vepruar kështu, ai i bëri dobësitë e ngjashme të mbingarkesës së buffer-it “të pashfrytëzueshme përgjithmonë”, sipas studiuesve të DeepMind.
Në brendësi, CodeMender përdor një sërë mjetesh duke përfshirë analizën statike dhe dinamike, fuzzing, arsyetimin simbolik dhe një “gjykatës LLM” që vërteton nëse ndryshimet e propozuara ruajnë funksionalitetin. Sistemi mund të vetëkorrigjohet automatikisht përpara se të shfaqë patch-in e tij përfundimtar për shqyrtim njerëzor kur validimi zbulon një problem dhe të gjitha ndryshimet verifikohen për saktësi, respektim të udhëzimeve të stilit dhe mungesë të regresioneve para dorëzimit.
DeepMind vëren se CodeMender mbetet një përpjekje kërkimore dhe se “të gjitha patch-et e gjeneruara nga CodeMender rishikohen nga studiues njerëzorë përpara se të dorëzohen në rrjedhën e sipërme”.
Ekipi i DeepMind planifikon të zgjerojë shtrirjen te mirëmbajtësit e softuerëve me kod të hapur dhe “shpreson të publikojë CodeMender si një mjet që mund të përdoret nga të gjithë zhvilluesit e softuerëve për të mbajtur bazat e tyre të kodit të sigurta”, me dokumente teknike që detajojnë arkitekturën dhe rrjedhën e validimit të agjentit që do të pasojnë.
Nëse dhe kur të publikohet, CodeMember qëndron në kontrast me metodat tradicionale si analiza statike dhe fuzzing, të cilat mund të nxjerrin në pah dobësitë, por ende mbështeten shumë në ekspertizën njerëzore për t’i validuar dhe riparuar ato. Qasja e CodeMender tregon drejt një të ardhmeje ku sistemet e inteligjencës artificiale mund të trajtojnë zbulimin dhe korrigjimin, i cili është padyshim një hap kritik, ndërsa bazat moderne të kodit rriten në mënyrë eksponenciale në madhësi dhe kompleksitet.