GoogleのDeepMind人工知能研究所は今週、自律的に脆弱性を発見し修正するためのAIエージェントを発表しました。
Googleは、ソフトウェアの脆弱性発見にAIを活用する複数のプロジェクトに取り組んでいます。最近、同社はBig Sleepエージェントが重大なSQLiteの脆弱性を発見し、実際の攻撃を阻止したと報告しました。
最新の製品はCodeMenderであり、このAIエージェントはセキュリティホールを発見するだけでなく、それらを修正することもできます。同社は、AIが脆弱性の発見能力を高めるにつれて、人間が修正作業に追いつくのが困難になるため、このようなツールが必要だと主張しています。
CISO対談:Google DeepMind セキュリティ・プライバシー担当副社長 ジョン‘フォー’フリン
DeepMindによると、Gemini DeepThinkモデルを活用したCodeMenderは、既存のコードを書き換えて安全性を高め、将来の悪用を防ぐためにセキュリティバグのクラス全体を排除することが可能です。
CodeMenderには、変更によってリグレッションやその他の問題が発生しないことを確認するためのチェック機能も含まれています。
このAIエージェントは、実際にプログラムを実行することなくコードを理解し、動作を予測できるため、高度なプログラム解析やマルチエージェントシステムを用いて効果的に変更内容を検証できます。
高度なプログラム解析には、静的解析や動的解析、ファジング、差分テスト、SMTソルバーなどが含まれ、脆弱性の根本原因やアーキテクチャ上の弱点を特定します。
広告。スクロールして続きをお読みください。
マルチエージェントシステムについてDeepMindは、「CodeMenderが根本的な問題の特定の側面に取り組めるよう、特別なエージェントを開発しました。例えば、CodeMenderは大規模言語モデルを用いた批評ツールを活用し、元のコードと修正後のコードの違いを強調することで、提案された変更がリグレッションを引き起こさないことを検証し、必要に応じて自己修正します」と説明しています。
過去6か月間で、CodeMenderは数百万行のコードを持つものを含むオープンソースプロジェクトに対して72件のセキュリティ修正を提供しました。ただし、DeepMindは慎重に対応しており、すべてのパッチは提出前にレビューされています。
翻訳元: https://www.securityweek.com/google-deepminds-new-ai-agent-finds-and-fixes-vulnerabilities/
