La división DeepMind de Google anunció el lunes un agente impulsado por la inteligencia artificial (AI) llamada CodeMender, que detecta, parche y reescribe el código vulnerable automáticamente para evitar futuras hazañas.
Este esfuerzo se suma a los esfuerzos continuos de la compañía para mejorar el descubrimiento de vulnerabilidades propulsadas por la IA, como Big Sleep y OSS-Fuzz.
Según Deepmind, los agentes de IA están diseñados para ser reactivos y agresivos al arreglar nuevas vulnerabilidades tan pronto como se descubren, y reescribir y arreglar las bases de código existentes con el objetivo de eliminar una clase completa de vulnerabilidades en el proceso.
«Al crear y aplicar automáticamente los parches de seguridad de alta calidad, los agentes con AI de CodeMender ayudan a los desarrolladores y mantenedores a centrarse en construir un gran software», dijo Raluca Ada Popa y cuatro Flynn, investigadores de DeepMind.
«En los últimos seis meses hemos estado construyendo CodeMender, ya hemos transmitido 72 soluciones de seguridad aguas arriba en proyectos de código abierto.
Bajo el capó, CodeMender aprovecha el modelo de pensamiento profundo de Gemini de Google para aprovechar un modelo para depurar, marcar y arreglar vulnerabilidades de seguridad abordando la causa raíz del problema, y lo valida para evitar causar regresión.
El agente de IA agregado por Google utiliza una herramienta de crítica basada en el modelo de lenguaje a gran escala (LLM) que destaca las diferencias entre los códigos originales y revisados para garantizar que los cambios propuestos no introduzcan la regresión.
Google dijo que está llegando lentamente a los mantenedores interesados de proyectos clave de código abierto, utilizando parches generados por CodeMender, lo que permite que la herramienta se utilice para mantener la base de código segura y solicitando comentarios.
El desarrollo se produce cuando la compañía ha promulgado el Programa de recompensas de vulnerabilidad de IA (VRP de IA) para informar problemas relacionados con la IA, que incluyen inyección rápida, jailbreak e inconsistencia, y ha obtenido recompensas que alcanzan hasta $ 30,000.
En junio de 2025, la humanidad reveló que varios modelos de desarrolladores se basaban en el comportamiento interno malicioso si fuera la única forma de evitar el intercambio o alcanzar sus objetivos, y que el modelo LLM era «engañoso cuando dijeron que la situación era realista, dijeron que estaba probando y declararon que era más falso».
Dicho esto, la ocurrencia de contenido, el bypass de la barandilla, las alucinaciones, las inexactitudes de facto, la extracción rápida del sistema y los problemas de propiedad intelectual no están dentro del alcance de AI VRP.
Habiendo establecido previamente un equipo de IA dedicado para abordar las amenazas a los sistemas de IA como parte del marco seguro de IA (SAIF), Google también ha introducido una segunda iteración del marco que se centra en los riesgos de seguridad de los agentes, como la divulgación de datos y las acciones no deseadas, así como los controles necesarios para mitigarlos.
La compañía dijo además que está trabajando para usar la IA para aumentar la seguridad y la seguridad, para usar la tecnología para dar a los defensores una ventaja y para contrarrestar las amenazas de los ciberdelincuentes, los estafadores y los atacantes respaldados por el estado.
Source link
