Google DeepMind、コードの脆弱性を自動修正するAIエージェント「CodeMender」発表

Google DeepMindは、脆弱なコードを自動で検出して修正するAIエージェント「CodeMender」を発表した。Geminiの推論能力を活用し、脆弱性の発見から修正までの時間を短縮する。サイバー攻撃に対抗し、AIを防御に活用する戦略の一環で、オープンソースエコシステムの安全向上を目指す。

[ITmedia]

　米Google DeepMindは10月6日（現地時間）、悪用を防ぐために脆弱なコードを自動的に検出し、パッチを適用して書き換えるAIエージェント「CodeMender」を発表した。この取り組みは、AIがサイバー犯罪者にとって強力な攻撃ツールとなりつつある状況に対抗し、AIをサイバー防御側に決定的な優位性をもたらすためのツールとして活用することを目指す、Googleの長期的なAIセキュリティ戦略の一環という。

　CodeMenderは、Googleの「Gemini」（Gemini Deep Thinkモデルを含む）の推論能力を利用して、重大なコードの脆弱性を自動的に修正することで、この問題の解決を助ける。オープンソースエコシステム全体でセキュリティ対策を拡大し、脆弱性の発見からパッチ適用までの時間を短縮することを目的としている。

　脆弱性を即座に修正するリアクティブなアプローチと、既存のコードを書き換えて脆弱性のクラス全体を排除するプロアクティブなアプローチの両方を取り入れた包括的なコードセキュリティ戦略を実行する。技術的な特徴として、ファジングや定理証明器、高度なプログラム分析ツールを活用し、脆弱性の表面的な症状だけでなく根本的な原因を正確に特定する「ルートコーズ分析」機能を持つ。

　自律的に生成・適用したコードパッチは、自動化されたピアレビュー担当者として機能する専門の「批評」エージェントにルーティングされる。これにより、パッチが正確性、セキュリティ上の影響、コーディング標準への準拠について厳密に検証され、高品質なパッチのみが人間の最終承認のために提示される仕組みだ。

Codemenderの仕組み（画像：Google DeepMind）

　プロアクティブな対策の一例として、画像圧縮ライブラリ「libwebp」に対し、バッファオーバーフローの悪用を防ぐための「-fbounds-safety」アノテーションを適用する作業を展開している。

　Google DeepMindによると、CodeMenderの構築開始から6カ月間で、オープンソースプロジェクトに対して72件のセキュリティ修正をアップストリームしたという。

　現在は、信頼性を確保するため、CodeMenderが生成するすべてのパッチは人間によるレビューを受けているが、今後はオープンソースコミュニティからのフィードバックを系統的に収集しながらプロセスを徐々に拡大していく予定だ。将来的には、オープンソースプロジェクトのメンテナーと連携し、コミュニティのフィードバックを反映させることで、一般公開を目指すとしている。