Google’ın DeepMind yapay zeka (AI) bölümü, koddaki güvenlik kusurlarını otomatik olarak tanımlamak ve yamamak için tasarlanan CodeMender güvenlik açığı bulma aracının ayrıntılarını yayınladı.
CodeMender, geliştiricilerin zaman geçtikçe güvenlik açıklarını bulma konusunda daha iyi hale gelen yapay zekayı kullanarak güvenlik açıklarını ve yamaları düzeltmelerine yardımcı olma çabasıdır.
Aracı, değişiklik yapmadan önce kod hakkında akıl yürütmek için gerekli araçlarla kendisini donatabilir.
Daha sonra, yeni sorunların ortaya çıkmasını önlemek ve yamaların insan tarafından incelenmesine yardımcı olacak stil yönergelerini takip etmek amacıyla gerilemeleri önlemek için değişiklikler otomatik olarak doğrulanır.
Google DeepMind, yamaların gönderilmeden önce insan incelemelerine tabi olduğunu söyledi.
CodeMender, kodda hata ayıklayabilen ve bulduğu karmaşık güvenlik açıklarını çözebilen özerk bir aracı oluşturmak için en yeni Gemini Deep Think modellerini kullanıyor.
DeepMind, CodeMender’ın son altı ay içinde açık kaynaklı projelere 72 güvenlik düzeltmesine katkıda bulunduğunu söyledi.
DeepMind, bunun 4,5 milyon satıra kadar olan kod tabanlarını içerdiğini söyledi.
Yeteneklerine bir örnek olarak DeepMind, CodeMender’ın bellek yığın arabellek taşması durumunda, dosyaların ayrıştırılması sırasında genişletilebilir işaretleme dili (XML) öğelerinin yanlış yığın yönetimi olduğu ortaya çıkan açık olmayan bir hata bulduğunu söyledi.
Popüler bir görüntü sıkıştırma kod kitaplığı olan libwebp’ye de CodeMender kullanılarak kod derleyicilerini, açıklardan yararlanmalarda yaygın olarak kullanılan arabellek taşmalarını önleyen sınır kontrolleri eklemeye zorlamak için açıklamalar eklendi.
DeepMind, derleyici bayrağı daha önce eklenmiş olsaydı, Apple iOS sıfır gün hatasının bir parçası olarak bir tehdit aktörü tarafından istismar edilen 2023 libwebp güvenlik açığının işe yaramayacağını söyledi.
Google, açık kaynak proje sorumlularından, gönderdiği yapay zeka tarafından oluşturulan yamalar hakkında geri bildirim isteyecek ve araç daha geniş bir kitleye sunulmadan önce bunu CodeMender’ı daha da geliştirmek için kullanacak.
DeepMind, CodeMender ile ilgili ayrıntılı teknik belgelerin de üzerinde çalışıldığını söyledi.
Yapay zeka, Google tarafından güvenlik bağlamında giderek daha fazla kullanılıyor.
Bu yılın ağustos ayında Google DeepMind, yine Gemini LLM’yi temel alan Big Sleep aracının açık kaynak yazılımda çok sayıda güvenlik açığı bulduğunu söyledi.
Google, son kullanıcı düzeyinde, bu tür kötü amaçlı yazılımların kullanıcıların Drive bulut depolama alanında depolanan dosyalara zarar vermesini engellemeyi amaçlayan bir güvenlik özelliği olan Workspace üretkenlik paketi için yapay zeka destekli fidye yazılımı algılama özelliğini getirmeyi planladığını söyledi.