Google'ın DeepMind bölümü, bağımsız olarak yazılım güvenlik açıklarını bulup düzeltebilen CodeMender adlı bir sistemin bulgularını açıkladı. Sadece sorunları işaretleyen araçların aksine, bu AI ajanı yamalar üretiyor. Şu anda proje bir araştırma girişimi olarak kalıyor, ancak şimdiden pratik sonuçlar veriyor. CodeMender, açık kaynak projeleri için 70'ten fazla düzeltme üretti ve bu yamalardan bazıları 4.5 milyon satırı aşan kod tabanlarını ele alıyor.
Geliştiriciler, sistemin amacının sadece belirlenen kusurlara tepki vermek değil, gelecekte tüm sınıf güvenlik açıklarının ortaya çıkmasını önleyecek şekilde kodu yeniden yazmak olduğunu belirtiyor. Verilen bir örnek, 2023'te büyük bir iOS saldırısına karışan libwebp kütüphanesi üzerindeki çalışmasıdır. CodeMender, koduna belirli notlar ekledi ve araştırmacılar, bu notların buffer overflow güvenlik açıklarının istismarını kalıcı olarak engellediğini söylüyor.
Düzeltme süreci, birkaç satır kod değiştirmekten ibaret değil. Sistem, statik analiz ve fuzzing dahil olmak üzere bir dizi araç kullanıyor ve uygulanan düzeltmelerin programın orijinal mantığını bozmadığını doğrulayan özel bir "hakim" modülü var.
Kritik olarak, AI tarafından üretilen tüm değişiklikler, orijinal kod yazarlarına sunulmadan önce insan geliştiriciler tarafından zorunlu olarak kontrol ediliyor. Bu süreç, riskleri en aza indiriyor ve sinir ağının kendisi için ek bir eğitim işlevi görüyor.
Proje araştırma aşamasını geçerse, yazılım güvenliğinin nasıl ele alındığını temelden değiştirebilir. Geleneksel yöntemler güvenlik "deliklerini" buluyor, ancak bunları yamanmak hala önemli bir insan çabası gerektiriyor. CodeMender, bu süreci otomatikleştirme yolunu sunuyor ve modern kodun hacmi ve karmaşıklığı arttıkça bu durum kritik önem kazanıyor.