CodeMender detecta, repara y reescribe automáticamente el código vulnerable
La división DeepMind de Google anunció el lunes un agente basado en inteligencia artificial (IA) llamado CodeMender, que detecta, parchea y reescribe automáticamente el código vulnerable para prevenir futuras vulnerabilidades.
Estos esfuerzos se suman a los esfuerzos continuos de la compañía por mejorar la detección de vulnerabilidades mediante IA, como Big Sleep y OSS-Fuzz.
DeepMind afirmó que el agente de IA está diseñado para ser tanto reactivo como proactivo, reparando nuevas vulnerabilidades tan pronto como se detectan, además de reescribir y proteger las bases de código existentes con el objetivo de eliminar clases enteras de vulnerabilidades en el proceso.
"Al crear y aplicar automáticamente parches de seguridad de alta calidad, el agente impulsado por IA de CodeMender ayuda a los desarrolladores y mantenedores a concentrarse en lo que mejor saben hacer: crear buen software", dijeron los investigadores de DeepMind Raluca Ada Popa y Four Flynn.
"Durante los últimos seis meses que llevamos desarrollando CodeMender, ya hemos implementado 72 correcciones de seguridad en proyectos de código abierto, incluidas algunas de hasta 4,5 millones de líneas de código".
CodeMender, bajo el capó, aprovecha los modelos Gemini Deep Think de Google para depurar, marcar y corregir vulnerabilidades de seguridad abordando la causa raíz del problema y validándolas para garantizar que no desencadenen ninguna regresión.
El agente de IA, agregó Google, también utiliza una herramienta de crítica basada en un modelo de lenguaje grande (LLM) que resalta las diferencias entre el código original y el modificado para verificar que los cambios propuestos no introduzcan regresiones y se autocorrijan según sea necesario.
Google dijo que también tiene la intención de llegar lentamente a los mantenedores interesados de proyectos críticos de código abierto con parches generados por CodeMender y solicitar sus comentarios, para que la herramienta pueda usarse para mantener las bases de código seguras.
El desarrollo se produce cuando la compañía dijo que está instituyendo un Programa de Recompensa por Vulnerabilidad de IA (AI VRP) para informar problemas relacionados con IA en sus productos, como inyecciones rápidas, jailbreaks y desalineación, y ganar recompensas que llegan hasta los $30,000.
En junio de 2025, Anthropic reveló que los modelos de varios desarrolladores recurrieron a comportamientos internos maliciosos cuando esa era la única forma de evitar el reemplazo o lograr sus objetivos, y que los modelos LLM "se comportaron menos mal cuando indicaban que estaban en pruebas y se comportaron más mal cuando indicaban que la situación era real".
Dicho esto, la generación de contenido que viola políticas, eludir las barreras de protección, las alucinaciones, las inexactitudes fácticas, la extracción de indicaciones del sistema y los problemas de propiedad intelectual no entran dentro del ámbito del VRP de IA.
Google, que anteriormente creó un Equipo Rojo de IA dedicado a abordar las amenazas a los sistemas de IA como parte de su Marco de IA Segura (SAIF), también ha introducido una segunda iteración del marco para centrarse en los riesgos de seguridad de los agentes, como la divulgación de datos y las acciones no deseadas, y los controles necesarios para mitigarlos.
La compañía señaló además que está comprometida a utilizar IA para mejorar la seguridad y la protección, y utilizar la tecnología para dar a los defensores una ventaja y contrarrestar la creciente amenaza de los ciberdelincuentes, estafadores y atacantes respaldados por el estado.
