GoogleがAIでアプリの脆弱性を発見できるAIエージェント「CodeMender」を発表

Googleが、Gemini Deep Thinkを使用して重大なソフトウェアの脆弱(ぜいじゃく)性を自動的に修正するAIエージェント「CodeMender」を発表しました。

Introducing CodeMender: an AI agent for code security - Google DeepMind
https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/

CodeMenderは、推論を強化したGemini Deep Thinkモデルの能力を活用し、脆弱性のデバッグと修正を自律的に実行するエージェントです。

CodeMenderが高品質なセキュリティパッチを自動生成・適用することで、人間の開発者や保守担当者が優れたソフトウェア構築に集中できるよう支援する、と紹介されています。

静的解析、動的解析、差分テスト、ファジング、SMTソルバといった高度なツールを併用し、根本原因を特定して修正パッチを考案できるのが特徴で、変更前にコードを推論して修正後のコードが後方互換性を損なわないことを自動検証するツールも備わっています。

また、より安全なデータ構造やAPIを使用するよう既存コードを積極的に書き換える設計が施されているのも特徴です。

Googleは、新たな脆弱性を即時修正する「反応的アプローチ」と、既存コードの書き換え・強化で脆弱性全体を排除する「予防的アプローチ」を統合した、包括的なコードセキュリティ戦略を採用したと説明しています。CodeMenderは、開発開始から6カ月で、オープンソースプロジェクトに72件のセキュリティ修正をアップストリーム提供済みとのことです。

またGoogleは、CodeMenderの初期結果は有望としつつ、信頼性に重点を置いた慎重なアプローチを取り、CodeMenderが生成するすべてのパッチは人間の研究者によるレビューを実施していると説明しました。

Googleは「ソフトウェアの脆弱性は、ファジングなどの従来型自動手法を用いても、開発者が発見・修正するのが極めて困難で時間のかかる課題です。Big SleepやOSS-Fuzzといった当社のAI技術は、十分にテストされたソフトウェアにおいても新たなゼロデイ脆弱性を発見するAIの能力を実証してきました。AIを活用した脆弱性発見技術がさらに進化するにつれ、人間だけで対応するのはますます困難になるでしょう。CodeMenderは、AIが持つ、あらゆる人々のソフトウェアセキュリティを向上させる驚異的な可能性の探求を始めたばかりです。今後数カ月以内に、多くの技術と成果を共有し、技術論文やレポートとして公開する予定です」と述べました。