codemender de deepmind promet une cybersécurité automatisée

CodeMender : l’IA de Google DeepMind qui corrige automatiquement les failles de sécurité dans le code

CodeMender : une IA révolutionnaire pour sécuriser le code source

Google DeepMind a dévoilé CodeMender, un agent d’intelligence artificielle capable de détecter et de corriger automatiquement les vulnérabilités critiques dans les logiciels. En seulement six mois, ce système a déjà contribué à 72 correctifs de sécurité dans des projets open-source réputés.

Une réponse à un rythme de découverte de failles toujours plus élevé

La détection et la correction des vulnérabilités sont des processus complexes et chronophages, même avec les outils automatisés comme le fuzzing. Grâce à ses recherches en IA, notamment via Big Sleep et OSS-Fuzz, DeepMind accélère la découverte de failles zero-day. Cependant, cette avancée accroît la pression sur les développeurs pour corriger rapidement les problèmes identifiés.

Un agent autonome pour équilibrer la détection et la correction

CodeMender vise à rééquilibrer ce processus grâce à une double approche :

• Réactive : réparation immédiate des failles nouvellement découvertes.
• Proactive : réécriture de portions de code pour supprimer des classes entières de vulnérabilités.

Les développeurs peuvent ainsi consacrer davantage de temps à l’ajout de fonctionnalités et à l’amélioration des performances logicielles.

Des capacités avancées d’analyse et de validation

CodeMender repose sur les modèles d'IA Gemini Deep Think, qui permettent une compréhension approfondie du code. Il est équipé d’outils puissants d’analyse statique et dynamique, de tests différenciés, de fuzzing et de solveurs SMT. Ces outils lui permettent de :

• Détecter les structures de vulnérabilité complexes
• Analyser le flux de contrôle et de données
• Proposer des correctifs robustes et adaptés

Chaque modification est soumise à un processus de validation automatique afin d’éviter l’introduction de régressions.

Une architecture multi-agents optimisée

Le système utilise une architecture multi-agents composée d’agents spécialisés. Par exemple, l’un d’eux analyse les différences entre le code original et la version corrigée pour détecter d’éventuels effets secondaires indésirables.

Des exemples probants de corrections efficaces

Dans un cas concret, CodeMender a corrigé un débordement de tampon sur le tas (heap buffer overflow) en identifiant un problème de gestion de pile lié à l’analyse XML. Bien que la correction ne portait que sur quelques lignes de code, la cause profonde était dissimulée ailleurs dans le code. Dans un autre projet, l'agent a résolu un problème complexe de durée de vie d'objet en modifiant la génération automatique de code C.

Prévenir plutôt que guérir : une sécurisation proactive

DeepMind a utilisé CodeMender pour renforcer la sécurité de la bibliothèque libwebp grâce à des annotations -fbounds-safety. Ces balises demandent au compilateur d'ajouter des vérifications de limites dans le code, évitant ainsi les débordements de tampon exploitables comme celui identifié sous le nom de CVE-2023-4863, exploité autrefois sur iOS.

Le système est aussi capable de corriger les erreurs de compilation ou les tests échoués qui surgissent à la suite de ses propres modifications, et d’ajuster automatiquement les correctifs en fonction du retour logiciel.

Une adoption progressive et contrôlée

Malgré ces avancées, DeepMind procède avec prudence : chaque correctif est actuellement validé par des experts humains avant d'être soumis à un projet open-source. L'équipe augmente progressivement le nombre de contributions tout en récoltant les retours des mainteneurs pour affiner le système.

Vers un futur collaboratif avec la communauté open-source

DeepMind prévoit de proposer CodeMender aux projets critiques open-source et de publier des articles scientifiques détaillant ses approches et résultats. L’objectif à long terme est de rendre l’outil accessible à tous les développeurs, contribuant ainsi à une sécurité logicielle automatisée et durable.

Voir aussi : Une attaque sur la vie privée révèle ce que mémorisent les modèles d'IA.

Vous souhaitez en savoir plus sur l’IA et les données ? Découvrez AI & Big Data Expo, à Amsterdam, en Californie ou à Londres, organisé par TechEx.

@ReservoirLive