CodeMender: DeepMind’s AI-agent detecteert en repareert softwarekwetsbaarheden vóór ze worden misbruikt

Google DeepMind heeft CodeMender onthuld, een AI-agent die volgens het bedrijf automatisch kwetsbaarheden in open source-software kan opsporen en repareren voordat kwaadwillenden ze kunnen uitbuiten. DeepMind stelt dat het systeem beveiligingspatches kan genereren die — nadat ze door mensen zijn beoordeeld — direct kunnen worden toegepast op projecten.

Wat is CodeMender?

CodeMender is een geautomatiseerde tool die is gebouwd op het Gemini Deep Think-model van DeepMind. Het is ontworpen om zowel reactief te werken (reparaties toepassen op aangetroffen fouten) als proactief (code herschrijven om hele klassen van kwetsbaarheden te verwijderen). Het doel is niet om menselijke beveiligingsonderzoekers te vervangen, maar om hun werk aanzienlijk te verlichten door meer potentiële problemen te vinden en voorgestelde fixes te valideren voordat mensen ernaar kijken.

Hoe werkt het?

Volgens DeepMind combineert CodeMender meerdere analyse-technieken om de oorzaak van bugs te achterhalen en regressies te voorkomen:

• Fuzzing — het geautomatiseerd voeren van vele, vaak willekeurige inputs naar software om crashende of onveilige gedragspatronen bloot te leggen.
• Statische analyse — het doorzoeken van broncode zonder uitvoering, op zoek naar patronen en constructies die mogelijk kwetsbaarheden veroorzaken.
• Differentiële testen — het vergelijken van verschillende versies of implementaties om afwijkend gedrag te detecteren dat kan wijzen op een bug.

Door deze methoden te combineren kan CodeMender niet alleen defecten identificeren, maar ook gerichte patches genereren en controleren of die patches geen nieuwe problemen introduceren.

Resultaten tot nu toe

DeepMind meldt dat het systeem in de afgelopen zes maanden al tientallen fixes heeft opgeleverd. Concreet werd aangegeven dat 72 beveiligingspatches “upstream” zijn gebracht naar open source-projecten, waaronder aanpassingen in projecten met omvang tot ongeveer 4,5 miljoen regels code. Dat illustreert volgens DeepMind dat CodeMender in staat is te werken op grote, bestaande codebases.

Een concreet voorbeeld dat DeepMind noemt is een automatische toepassing van -fbounds-safety-annotaties in delen van de libwebp-imagecompressiebibliotheek. Die annotaties dwingen de compiler controles op buffergrenzen uit te voeren, waardoor het risico op overflow-gerelateerde aanvallen afneemt. (In algemene termen: het doel van zulke annotaties is dat de compiler extra grenzencontroles inschakelt om geheugenoverschrijvingen te voorkomen.)

Menselijke controle en betrouwbaarheid

DeepMind benadrukt dat CodeMender menselijke beoordeling blijft vereisen: de gegenereerde patches worden door het systeem gevalideerd en vervolgens voor review naar ontwikkelaars of beveiligingsonderzoekers gestuurd. Volgens het bedrijf moet de betrouwbaarheid van het systeem eerst breed bewezen worden voordat het breder beschikbaar wordt gesteld voor ontwikkelaars. DeepMind geeft aan dat het wil uitbreiden naar intensievere tests met maintainers van open source-projecten, en pas daarna een bredere release overweegt.

Reden en context

DeepMind en zijn onderzoekers wijzen erop dat tegelijk met de groei van AI-mogelijkheden ook kwaadwillenden AI inzetten om kwetsbaarheden te vinden en te misbruiken. Daarom is er volgens hen behoefte aan geavanceerde verdedigingstools die op vergelijkbaar schaalniveau problemen kunnen identificeren en verhelpen.

Beveiligingsbeleid en beloningen

Tegelijk met de ontwikkeling van tools als CodeMender heeft Google zijn Secure AI Framework herzien en een nieuw Vulnerability Reward Program opgezet specifiek voor AI-gerelateerde kwetsbaarheden. Deze stappen laten zien dat het bedrijf zowel technisch als beleidsmatig inzet op het beheersen van risico’s rond AI en softwarebeveiliging.

Wat betekent dit praktisch?

• Voor open source-maintainers: een systeem als CodeMender kan grote hoeveelheden routinewerk verminderen door voorgestelde fixes te genereren en voor te testen, maar uiteindelijk blijft menselijke review cruciaal.
• Voor beveiligingswerkers: AI-hulpmiddelen kunnen helpen meer kwetsbaarheden sneller op te sporen, maar ze veranderen ook de spelregels doordat zowel verdedigers als aanvallers AI inzetten.
• Voor gebruikers en organisaties: verbeterde automatische testing en patching kan de algemene beveiliging van afhankelijkheden verbeteren, mits die patches zorgvuldig worden beoordeeld en geïntegreerd.

Door: Drifter