La división DeepMind de Google anunció el lunes un agente impulsado por inteligencia artificial (IA) llamado CodeMender que detecta, corrige y reescribe automáticamente el código vulnerable para evitar futuras vulnerabilidades.
Estos esfuerzos se suman a los esfuerzos continuos de la empresa para mejorar el descubrimiento de vulnerabilidades impulsado por la inteligencia artificial, como Sueño a lo grande y OSS-Fuzz .
DeepMind dijo que el agente de inteligencia artificial está diseñado para ser tanto reactivo como proactivo, solucionando nuevas vulnerabilidades tan pronto como se detectan y reescribiendo y asegurando las bases de código existentes con el objetivo de eliminar clases enteras de vulnerabilidades en el proceso.
«Al crear y aplicar automáticamente parches de seguridad de alta calidad, el agente basado en inteligencia artificial de CodeMender ayuda a los desarrolladores y mantenedores a centrarse en lo que mejor saben hacer: crear un buen software», afirman Raluca Ada Popa y Four Flynn, investigadores de DeepMind dijo .
«Durante los últimos seis meses que hemos estado creando CodeMender, ya hemos actualizado 72 correcciones de seguridad para proyectos de código abierto, incluidas algunas de hasta 4,5 millones de líneas de código».
CodeMender, bajo el capó, aprovecha las Modelos Gemini Deep Think para depurar, marcar y corregir las vulnerabilidades de seguridad abordando la causa raíz del problema y validarlas para garantizar que no desencadenan ninguna regresión.
El agente de IA, agregó Google, también utiliza una herramienta de crítica basada en un modelo de lenguaje grande (LLM) que resalta las diferencias entre el código original y el modificado para verificar que los cambios propuestos no introduzcan regresiones y autocorregirse según sea necesario.
Google dijo que también tiene la intención de llegar poco a poco a los mantenedores interesados de proyectos críticos de código abierto con parches generados por CodeMender y solicitar sus comentarios, de modo que la herramienta pueda usarse para mantener seguras las bases de código.
El desarrollo se produce cuando la empresa dijo es instituyendo un programa de recompensas por vulnerabilidades de la IA (AI VRP) para denunciar problemas relacionados con la IA en sus productos, como inyecciones rápidas, escapadas de la cárcel y desalineaciones, y obtener recompensas de hasta 30 000$.
En junio de 2025, Anthropic revelada que los modelos de varios desarrolladores recurrían a comportamientos internos malintencionados cuando esa era la única forma de evitar ser reemplazados o lograr sus objetivos, y que los modelos de LLM «se portaban menos mal cuando decían que estaban en fase de pruebas y se portaban más mal cuando decían que la situación era real».
Dicho esto, la generación de contenido que infringe las políticas, las elusiones de las barandillas, las alucinaciones, las inexactitudes fácticas, la extracción rápida del sistema y los problemas de propiedad intelectual no te caigas en el ámbito de la IA VRP.
Google, que configurado previamente un equipo rojo de IA dedicado a hacer frente a las amenazas a los sistemas de IA como parte de su marco de IA segura ( DIJO ), también ha introducido una segunda versión del marco para centrarse en riesgos de seguridad de las agencias como la divulgación de datos y las acciones no deseadas, y los controles necesarios para mitigarlas.
La empresa señaló además que se compromete a utilizar la inteligencia artificial para mejorar la seguridad y a utilizar la tecnología para dar una ventaja a los defensores y contrarrestar la creciente amenaza de los ciberdelincuentes, los estafadores y los atacantes respaldados por el estado.