Инструменты искусственного интеллекта (ИИ) ускорили все: от разработки приложений и решения проблем до научных открытий и медицинских исследований. Тем не менее, в то же время эксперты также предупреждают об их потенциале создавать вредоносное ПО гораздо быстрее, быстро находить уязвимые места, использовать инструменты с открытым исходным кодом для создания бэкдоров в больших масштабах и многое другое. Чтобы противостоять этой растущей угрозе, подразделение Google DeepMind создало инструмент на базе искусственного интеллекта, который не только находит серьезные пробелы или ошибки в программном коде, но и исправляет их. Компания, соответственно, называет его CodeMender.
Google утверждает, что CodeMender способен «исправлять новые уязвимости, а также активно переписывать и защищать существующий код, а также устранять целые классы уязвимостей в процессе». Этот инструмент, разрабатывавшийся в течение примерно шести месяцев, уже помог исправить 72 уязвимости, связанные с безопасностью, в проектах с открытым исходным кодом, некоторые из которых содержали миллионы строк кода. CodeMender опирается на мощные модели Gemini Deep Think и работает агентным образом, что означает, что он может выполнять задачу автономно с минимальным вмешательством человека или вообще без него.
Однако образ действий очень похож. Он анализирует требования, добавляет или корректирует необходимую часть кода, а затем также проверяет их, чтобы вся кодовая база не столкнулась с неожиданными ошибками из-за изменений. Примечательно, что когда дело доходит до ситуаций с высокими ставками, codemender по-прежнему выставляет внесенные изменения на рассмотрение человека. На данный момент Google проявляет осторожность и привлекает экспертов для проверки всех настроек, внесенных CodeMender.
Как работает CodeMender?
Теперь использование ИИ для поиска пробелов в коде — это половина дела. Их исправление является более важной частью, особенно в случае уязвимостей нулевого дня, когда у разработчиков мало свободного времени, а недостатки уже используются (или использовались) злоумышленниками в дикой природе. CodeMender, основанный на моделях искусственного интеллекта Gemini от Google, снижает потенциальный ущерб, исправляя код и устраняя точки атаки.
С технической стороны инструмент на базе искусственного интеллекта использует такие методы, как статический анализ, динамический анализ, дифференциальное тестирование, фаззинг и решатели SMT. Более того, он считывает не просто кодовую базу, но структуру всего кода и то, как данные проходят через него. Основная идея заключается не в том, чтобы просто выявить недостатки, а в том, чтобы дойти до их корней и обнаружить архитектурные проблемы.
Это не будет первый шаг Google на стыке искусственного интеллекта и безопасности. Примерно год назад компания объявила, что ее проект OSS-Fuzz на базе искусственного интеллекта обнаружил более двух десятков уязвимостей в коде, которые пропустили люди. Одна из них касалась уязвимости критического уровня: одна из ошибок существовала в течение двух десятилетий и могла остаться незамеченной исследователями кода. Вместе с BigSleep компания утверждает, что ее инструменты на базе искусственного интеллекта уже доказали свою эффективность в поиске уязвимостей нулевого дня — самого опасного вида недостатков в экосистеме безопасности. CodeMender — это естественная эволюция усилий по повышению безопасности кода с помощью искусственного интеллекта.
Почему такие инструменты, как Codemender, являются актуальной необходимостью?
Появление искусственного интеллекта и его глубокая интеграция во все, от приложений Office до генерации кода, открыли совершенно новую вселенную возможностей для атак. В начале октября 2025 года Anthropic опубликовала исследование, в котором подчеркивалось, что всего 250 вредоносных документов достаточно, чтобы отравить большую модель ИИ и открыть бэкдоры для всех видов ущерба. Стоит отметить, что Anthropic получила миллиарды долларов финансирования от таких компаний, как Google и Amazon, а ее чат-бот Claude теперь обеспечивает возможности искусственного интеллекта в пакетах Microsoft Copilot и Office.
«Эти уязвимости представляют значительный риск для безопасности ИИ», — заявила компания в своем анализе, опубликованном в сотрудничестве с Британским институтом безопасности ИИ и Институтом Алана Тьюринга. Правительство Великобритании также предупредило, что генеративный ИИ может привести к более быстрому и широкому распространению фишинга, репликации вредоносных программ и кибер-вторжений, а также к решению тривиальных задач, таких как взлом паролей с помощью ИИ. Исследования также предполагают, что инструменты генеративного искусственного интеллекта откроют шлюзы для кибератак.
Даже отчет Google Cloud Cybersecurity Forecast 2024 вызвал тревогу по поводу использования инструментов генеративного искусственного интеллекта злоумышленниками. Но кажется, что такие инструменты, как CodeMender, могут в некоторой степени уравнять правила игры. Google настолько уверен в эффективности внедрения искусственного интеллекта для обеспечения безопасности, что утверждает, что «людям в одиночку будет все труднее идти в ногу со временем». Примечательно, что Google не сообщила, когда планирует публично выпустить CodeMender, хотя вполне вероятно, что этот инструмент будет ориентирован на корпоративных клиентов, учитывая, насколько ресурсоемкой является вся система.
