Google DeepMind представила CodeMender — ИИ-агент для автоматического обнаружения и исправления уязвимостей в исходном коде
CodeMender — автономный ИИ-агент на базе Gemini Deep Think — анализирует исходный код, локализует уязвимости и генерирует патчи, проходящие автоматическую и ручную проверку. За шесть месяцев агент внес 72 исправления в open-source проекты, включая библиотеку libwebp, устранив уязвимости типа переполнения буфера.
Google DeepMind разработала CodeMender — автономного ИИ-агента, способного обнаруживать и исправлять уязвимости в исходном коде без прямого вмешательства разработчика. В отличие от инструментов, генерирующих код по запросу, CodeMender работает с существующими репозиториями: анализирует код, идентифицирует источник уязвимости, формирует исправление, компилирует изменённую версию, запускает тесты и сравнивает поведение до и после внесения правок. При несоответствии ожидаемому результату агент повторяет цикл анализа и корректировки.
Архитектура системы построена вокруг модели Gemini Deep Think — расширенной версии языковой модели с улучшенным механизмом рассуждения. Вокруг неё интегрированы инструменты статического и динамического анализа: поиск по исходникам, отладчик, компилятор, фреймворк для фаззинга и система автоматизированного тестирования. Это позволяет агенту не просто реагировать на известные паттерны уязвимостей, а выявлять их корневые причины — например, отсутствие проверок границ указателей, неправильную обработку входных данных или утечки памяти.
За первые шесть месяцев работы CodeMender внес 72 патча в крупные open-source проекты, включая репозитории с объёмом до 4,5 млн строк кода. Одним из примеров стало исправление в библиотеке libwebp, где агент добавил аннотации -fbounds-safety — опцию компилятора, включающую проверки границ указателей на уровне компиляции. Это устраняет уязвимости типа переполнения буфера, аналогичные CVE-2023-4863, использовавшейся для эксплуатации в атаках на iOS.
Агент не ограничивается устранением конкретных багов — он выявляет классы потенциальных уязвимостей и применяет системные исправления, снижающие вероятность их повторения. Например, при обнаружении одного случая отсутствия проверки длины строки, агент может внести аналогичные правки во все схожие участки кода в рамках одного проекта.
На текущем этапе все исправления CodeMender проходят ручное ревью исследователями перед отправкой в репозиторий. Это обеспечивает контроль качества и соответствие стандартам кода, но не влияет на автоматизацию процесса: агент выполняет все технические этапы — от анализа до сборки и тестирования — самостоятельно.
Система не требует изменения существующих CI/CD-конвейеров — она интегрируется как отдельный сервис, запускаемый после коммита или в рамках регулярного сканирования. Результаты работы фиксируются в виде патчей, готовых к проверке, что позволяет командам DevSecOps сократить время между обнаружением уязвимости и её устранением.
Внедрение CodeMender в процессы разработки снижает зависимость от ручного аудита, уменьшает нагрузку на инженеров по безопасности и ускоряет выпуск обновлений. В перспективе DeepMind планирует открыть доступ к системе для внешних проектов и интегрировать её в корпоративные инструменты разработки — при этом сохраняя контроль через ручное одобрение патчей.
Технология не заменяет программистов — она расширяет возможности команд по обеспечению безопасности, превращая реактивный подход «исправить баг» в проактивный — «предотвратить класс уязвимостей».
За первые шесть месяцев работы CodeMender внес 72 патча в крупные open-source проекты, включая репозитории с объёмом до 4,5 млн строк кода. Одним из примеров стало исправление в библиотеке libwebp, где агент добавил аннотации -fbounds-safety — опцию компилятора, включающую проверки границ указателей на уровне компиляции. Это устраняет уязвимости типа переполнения буфера, аналогичные CVE-2023-4863, использовавшейся для эксплуатации в атаках на iOS.
Агент не ограничивается устранением конкретных багов — он выявляет классы потенциальных уязвимостей и применяет системные исправления, снижающие вероятность их повторения. Например, при обнаружении одного случая отсутствия проверки длины строки, агент может внести аналогичные правки во все схожие участки кода в рамках одного проекта.
На текущем этапе все исправления CodeMender проходят ручное ревью исследователями перед отправкой в репозиторий. Это обеспечивает контроль качества и соответствие стандартам кода, но не влияет на автоматизацию процесса: агент выполняет все технические этапы — от анализа до сборки и тестирования — самостоятельно.
Система не требует изменения существующих CI/CD-конвейеров — она интегрируется как отдельный сервис, запускаемый после коммита или в рамках регулярного сканирования. Результаты работы фиксируются в виде патчей, готовых к проверке, что позволяет командам DevSecOps сократить время между обнаружением уязвимости и её устранением.
Внедрение CodeMender в процессы разработки снижает зависимость от ручного аудита, уменьшает нагрузку на инженеров по безопасности и ускоряет выпуск обновлений. В перспективе DeepMind планирует открыть доступ к системе для внешних проектов и интегрировать её в корпоративные инструменты разработки — при этом сохраняя контроль через ручное одобрение патчей.
Технология не заменяет программистов — она расширяет возможности команд по обеспечению безопасности, превращая реактивный подход «исправить баг» в проактивный — «предотвратить класс уязвимостей».
© 08.10.2025
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025