自律的なパッチ適用を超えた拡張は、オーケストレーション、ガバナンス、およびエンタープライズ信頼への重点の増加を反映しています。
Googleは、自律的な脆弱性修復から、より大きなエージェント開発エコシステムへと、CodeMenderセキュリティエージェントの役割を拡張しており、AI主導のAppSecへのより広い推進を示唆しています。
CodeMender(ソフトウェア脆弱性を自律的に特定およびパッチするために設計されたAI搭載エージェント)を導入してから数ヶ月後、GoogleはGoogle I/O 2026で発表された拡大するAgent Platform戦略にこのテクノロジーを統合しています。
このシフトは、CodeMenderがもはや単なるスタンドアロン修復ツールではない可能性があることを示唆しています。代わりに、ソフトウェア開発、セキュリティ、検証、および運用ワークフローをナビゲートでき、人間の介入が限定的なエンタープライズAIエージェントの、より広いエコシステムの一部として位置付けられているようです。
「CodeMenderをAgent Platformに埋め込み、アイデンティティ、ゲートウェイ、および可観測性コンポーネントをすべて含めることで、Googleは、エンタープライズが自律的な修復をポイントソリューションではなく、統制されたインフラストラクチャの一部として信頼しないか、信頼しないと考えていると私は信じています。」Enterprise Management Associatesの研究副責任者であるChris Steffen氏は述べました。「ですから、これは単なる製品の更新ではなく、戦略的な転換の可能性が高いです。」
Google DeepMindが2025年10月にCodeMenderを発表したとき、同社は、大規模なオープンソースコードベースの脆弱性をデバッグおよび修正することができる自律的なセキュリティ修復システムとしてそれを提示しました。
Googleによると、エージェントはすでにプロジェクト全体にわたって数十のセキュリティパッチを生成および提出していました。「CodeMenderを構築してきた過去6ヶ月間に、4.5百万行のコードほどの大規模なものを含むオープンソースプロジェクトに72のセキュリティ修正をアップストリームしてきました」と同社は発表時に述べていました。
エージェントは、脆弱性を分析し、修正を生成し、パッチを検証し、提案された修復が回帰をもたらしたかどうかをテストしてから開発者に提示するために、Gemini推論モデルを使用していたと言われていました。
当時、Googleはテクノロジーを主にソフトウェア脆弱性管理の増加する負担への対応として位置付けていました。「ソフトウェア脆弱性は、開発者が見つけて修正するのに悪名高く時間がかかります」とそれは述べていました。
しかし、GoogleはCodeMenderが発表以来どのように実行されているかについて何も明かしていません。「まだ初期段階であり、彼らが確実にいつかパフォーマンスデータをリリースするでしょう」とSteffen氏は述べました。「現在のところ、偽陽性率、回帰率、または独自コードベースでの修正精度に関する発表されたデータはありません。」
しかし、Steffen氏は、エンタープライズが真摯な導入を検討する前にこれらのメトリックを要求するため、そのデータがまもなく提供されると信じています。
現在、より広いAgent Platform戦略に統合されている
レポートカードをフラッシュする前に、Googleはより大きな設計図をスケッチし始めました。I/O 2026での最新のAgent Platform発表は、同社がCodeMenderについて今、はるかに広い運用上の観点から考えている可能性があることを示唆しています。
GoogleはCodeMenderをAgent Platformに統合していると述べ、統合された機能は企業顧客に「近い将来」利用可能になると追加しました。「Agent Platform機能と高度なGeminiモデルを活用することで、CodeMenderはあなたのコード内の脆弱性を自律的に特定します」と同社は追加しました。
Agent Platform(Gemini Enterprise Agent Platformとも呼ばれる)は、本質的には、エンタープライズワークフロー全体にわたって自律的なAIエージェントを構築、展開、オーケストレーション、統制、および管理するためのGoogleのインフラストラクチャスタックです。
AI主導のソフトウェアセキュリティパイプラインへのシフトを示唆しているかどうかという質問に応答して、Steffen氏は「絶対にそうです — そして、それは構造的なもので、表面的なものではありません。AIが今、人間が修復できるよりも速く脆弱性を発見できるという疑いの余地はなく、AI主導のパイプラインを必要不可欠なものにしています。『あると良い』ものではなく。」と述べました。
それでも、相当な信頼とガバナンスの問題が残っています。
自律的な修復ツールは、検証がエッジケースを逃した場合、誤った修正または回帰を導入する可能性があり、一方、エンタープライズはAIエージェントに機密コードベースへの監督されないアクセスを与えることに引き続き用心深い可能性があります。
CodeMenderの発表時における検証、テスト、およびワークフローオーケストレーションの強調は、Googleがこれらの懸念を認識していることを示唆しており、CodeMenderを完全に独立したアクターではなく、より大きなエンタープライズ開発パイプライン内で厳密に統制された参加者として位置付けようとしている可能性があります。
I/Oで統合ニュースを発表する際、Googleはすべてが「あなたの承認で」行われると再度述べました。「このプロセス全体は、開発者が制御を保持していることを確認しながら、安全な展開を自動化します」と同社は安心させました。
