O laboratório DeepMind do Google publicou os resultados do seu agente CodeMender, alimentado por IA. O agente pode identificar, corrigir e reescrever códigos vulneráveis de forma autônoma para evitar futuras explorações de software.
Fonte da imagem: Google
De acordo com a SiliconANGLE, o CodeMender se baseia nos projetos anteriores de descoberta de vulnerabilidades da DeepMind, especificamente o projeto de análise de segurança de código aberto OSS-Fuzz e o sistema Big Sleep, combinando a inteligência dos modelos Gemini com técnicas avançadas de análise de software. O objetivo principal do projeto é depurar e corrigir bugs complexos de forma autônoma em bases de código de grande porte.
Embora o projeto ainda esteja em fase de pesquisa, o CodeMender já enviou 72 correções de segurança para projetos de código aberto, incluindo aquelas com mais de 4,5 milhões de linhas de código. De acordo com a empresa, o agente de IA permite que os desenvolvedores se concentrem na criação de software de alta qualidade, gerando e aplicando patches de segurança confiáveis automaticamente.
O sistema foi projetado para trabalho reativo e proativo: ele não apenas corrige vulnerabilidades descobertas instantaneamente, mas também reescreve o código existente, eliminando classes inteiras de bugs. Como exemplo, os pesquisadores da DeepMind citam o trabalho do agente com a biblioteca de compressão de imagens libwebp, que foi usada em um ataque ao iOS em 2023. O agente aplicou anotações -fbounds-safety a ela, após o que, segundo os pesquisadores, vulnerabilidades semelhantes de estouro de buffer tornaram-se “permanentemente inexploráveis”.
A arquitetura interna do CodeMender inclui um conjunto de ferramentas: análise estática e dinâmica, fuzzing, execução simbólica e um chamado “juiz LLM”, que verifica se as alterações propostas preservam a funcionalidade original. O sistema é capaz de se autocorrigir se, durante o processo de verificação,Um problema é detectado. Todas as alterações são verificadas quanto à correção, conformidade com os padrões de estilo e ausência de regressões antes do envio. A DeepMind enfatiza que o CodeMender continua sendo um projeto de pesquisa e que todos os patches gerados por ele são revisados por pesquisadores humanos antes do envio aos projetos.
Uma vez lançada, a ferramenta oferecerá uma abordagem diferente dos métodos tradicionais, como análise estática e fuzzing, que encontram vulnerabilidades, mas ainda dependem fortemente da expertise do revisor humano. Essa nova abordagem transformará o sistema para que a inteligência artificial possa identificar e corrigir bugs de forma independente, um passo crítico à medida que o tamanho e a complexidade das bases de código modernas crescem exponencialmente.