官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
谷歌近日推出名为CodeMender的新型AI Agent,该工具通过自动识别和修复漏洞来增强软件安全性。这项创新旨在解决AI辅助快速发现安全漏洞与人工修复耗时费力之间的矛盾。
CodeMender利用先进AI技术,不仅能应对新出现的威胁,还能主动重写现有代码以消除整类漏洞。在最初六个月的运行中,该项目已为多个开源项目贡献了72个安全修复补丁,其中部分代码库规模高达450万行。这一进展正值谷歌Big Sleep和OSS-Fuzz等AI工具加速发现0day漏洞,导致修复工作量激增,人类开发者已难以独自应对。
CodeMender作为基于谷歌Gemini Deep Think模型的自主Agent,配备了一套复杂工具集,使其能够推理软件行为、调试复杂问题并验证自身修改。这种全面方法既包含对新漏洞的响应式修补,也涵盖采用更安全实践的主动代码重写。
为准确识别安全漏洞的真正根源,CodeMender采用了包括静态分析(static analysis)、动态分析(dynamic analysis)、模糊测试(fuzzing)和差分测试(differential testing)在内的先进程序分析技术。例如在处理堆缓冲区溢出崩溃时,该Agent不仅定位即时错误,还发现根本原因是XML元素解析过程中错误的堆栈管理,随后制定了有效补丁。
CodeMender不仅能修复单个漏洞,还能主动强化代码库防御未来攻击。在标志性应用中,该Agent被部署到广泛使用的libwebp图像压缩库,系统性地应用了-fbounds-safety安全注解——这项功能可为代码添加边界检查。谷歌表示,仅此一项措施就可使著名的libwebp漏洞(CVE-2023-4863)无法被利用,该漏洞曾被用于iOS零点击攻击。
尽管初期成果令人鼓舞,谷歌仍保持谨慎态度,确保每个AI生成的补丁都经过研究人员人工审核后才提交。公司正逐步扩大与关键开源项目维护者的合作,提供CodeMender生成的补丁并收集反馈。
最终目标是完善该系统,将其作为公共工具向所有软件开发者开放。这标志着利用AI提升全民软件安全的重要一步。谷歌计划在未来几个月通过技术论文和报告分享更多细节。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)