Google, yazılımdaki güvenlik kusurlarını otomatik olarak tespit etmek ve yamamak için tasarlanmış yapay zeka destekli bir aracı olan CodeMender’ı tanıttı.
6 Ekim 2025’te Raluca Ada Popa ve Four Flynn tarafından duyurulan CodeMender, proaktif kod güvenliği için yapay zekadan yararlanmaya yönelik önemli bir adımı temsil ediyor.
CodeMender, Google’ın Big Sleep ve OSS-Fuzz gibi güvenlik açığı keşfine yönelik daha önceki yapay zeka araştırmalarını temel alır.
Bu projeler iyi test edilmiş kodlarda yeni sıfır gün kusurlarını bulmaya odaklanırken, CodeMender bir sonraki mantıksal adımı atıyor: yalnızca güvenlik açıklarını bulmakla kalmıyor, aynı zamanda manuel müdahale olmadan yüksek kaliteli yamalar oluşturup uyguluyor.
Geçtiğimiz altı ay boyunca araştırma ekibi, bazıları 4,5 milyon satırdan fazla koda yayılan 72 güvenlik düzeltmesini açık kaynaklı projelere aktardı.
CodeMender, yama sürecini otomatikleştirerek geliştiricilerin yakalanması zor hataların peşine düşmek yerine yeni özellikler oluşturmaya odaklanmalarını sağlar.
CodeMender Nasıl Çalışır?
CodeMender, özünde karmaşık kod yapıları hakkında akıl yürütmek için Google’ın Gemini Deep Think modellerinden yararlanır.
Güvenlik kusurlarının temel nedenlerini izlemek için statik ve dinamik analiz, diferansiyel testler, bulanıklaştırma ve SMT çözücüleri içeren bir dizi gelişmiş program analiz aracı kullanır.
Daha sonra çok aracılı bir sistem, önerilen düzeltmeleri eleştirmek, hata ayıklamak ve doğrulamak için özel alt aracıları düzenler.
Örneğin, CodeMender bir yama oluşturduktan sonra, ayrı bir eleştiri aracısı, işlevsel eşdeğerliği ve stil yönergelerine uygunluğu sağlamak için orijinal ve değiştirilmiş kodu karşılaştırır.
Örnek bir yama CodeMender’ın yeteneklerini göstermektedir. XML ayrıştırmada yığın arabellek taşması ile karşı karşıya kalan aracı, yığının yanlış yönetimi sorununu belirledi ve minimum düzeyde bir değişiklik uyguladı:
// Before: missing bounds check
for (int i = 0; i < length; i++) {
buffer[i] = xmlData[i];
}
// After: added safe copy
for (int i = 0; i < length && i < bufferSize; i++) {
buffer[i] = xmlData[i];
}Bu basit ama kesin güncelleme, orijinal işlevselliği korurken taşmayı ortadan kaldırır.
CodeMender, yeni güvenlik açıklarına karşı reaktif yamaların ötesinde, kitaplıkları tüm hata sınıflarına karşı güçlendirmek için mevcut kodu proaktif olarak yeniden yazabilir.
Ekip, popüler libwebp görüntü kitaplığının bazı bölümlerine -fbounds-güvenlik açıklamaları uygulayarak gelecekteki arabellek taşmalarının derleme zamanında yakalanmasını sağladı.
Bu özellik CVE-2023-4863'ten önce mevcut olsaydı, sıfır tıklamayla iOS istismarı tamamen önlenebilirdi.
CodeMender tarafından oluşturulan tüm yamalar, yukarı akışa gönderilmeden önce insan incelemesinden geçer. Bu temkinli yaklaşım, kritik açık kaynak projelerinde halihazırda düzinelerce kabul edilen yamanın ortaya çıkmasını sağladı.
Google, CodeMender'ın çıktısını iyileştirmek için geri bildirim toplayarak bakımcılarla yakın işbirliği yapmayı planlıyor. Önümüzdeki aylarda ayrıntılı teknik belgeler ve raporlar, temel teknikleri ve gerçek dünya sonuçlarını paylaşacak.
Google, CodeMender ile güçlü kod güvenliğini tüm geliştiricilerin erişimine sunmayı hedefliyor.
Bu yapay zeka aracısı, derin öğrenme mantığını program analiziyle birleştirerek yazılımın güvenliğinin sağlanması yöntemini dönüştürebilir, kritik güvenlik açıklarına maruz kalma penceresini azaltabilir ve açık kaynak ekosistemine olan güveni artırabilir.
Anında Güncellemeler Almak ve GBH'yi Google'da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X'te takip edin.