Google DeepMind hat mit CodeMender ein neues KI-gestütztes System vorgestellt, das künftig helfen soll, Software-Sicherheitslücken automatisch zu erkennen und zu beheben. Bereits jetzt wurden mit dem Tool zahlreiche Korrekturen in Open-Source-Projekten vorgenommen.
Wichtigste Erkenntnisse
- CodeMender nutzt KI für Erkennung und Behebung von Schwachstellen.
- Bereits über 70 Patches wurden in Open-Source-Projekte eingebracht.
- Menschliche Kontrolle bleibt bisher entscheidend vor finaler Freigabe.
Automatisierte Schwachstellen-Erkennung und -Behebung
CodeMender kombiniert fortschrittliche KI mit verschiedenen Analysetechniken wie statischer und dynamischer Codeanalyse sowie Fuzzing. Kern des Agenten ist das Sprachmodell Gemini Deep Think, das Fehler im Quellcode identifiziert und eigenständig Korrekturvorschläge erstellt oder automatisch durchführt.
Die Software gleicht dabei Unterschiede zwischen Original- und Zielcode aus und nutzt Differentialtests sowie spezialisierte Algorithmen, um die Wirksamkeit der Korrekturen zu prüfen. Dabei spielt auch ein internes Werkzeug zur Überprüfung der Funktionalität eine wichtige Rolle.
Qualitätssicherung durch mehrstufige Prüfung
Bevor CodeMenders Vorschläge in reale Projekte einfließen, werden sie stets vom menschlichen Forschungsteam überprüft. Dieser mehrstufige Prozess gewährleistet, dass nur funktional korrekte und nachvollziehbare Code-Änderungen implementiert werden.
Ein aktuelles Beispiel aus den Testreihen: In einem Open-Source-Projekt erkannte der Agent einen Heap-Buffer-Overflow, dessen Ursache im Stack-Management lag – eine Herausforderung, die manuell schwer zu lokalisieren gewesen wäre. Ebenso wurden Speicherprobleme durch Anpassung von Lebenszyklen von Objekten gelöst.
Präventive Absicherung für bestehende Codebasen
Neben der Fehlerbeseitigung ist ein weiteres Ziel der präventive Schutz von Altcode. Hierzu implementiert CodeMender spezielle Sicherheitsannotations wie „-fbounds-safety“. Diese aktivieren Compiler-Prüfungen, die Speicherzugriffsfehler verhindern. Das System wurde unter anderem bei der libwebp-Bibliothek eingesetzt, die 2023 durch eine kritische Schwachstelle in einen iOS-Angriff verwickelt war.
Eine Übersicht der bisherigen Erfolge:
| Einsatzbereich | Anzahl Patches | Betroffene Codezeilen |
|---|---|---|
| Open-Source-Projekte | 70+ | Millionen |
| Speicherfehler (u.a. libwebp) | Zahlreiche | Variabel |
Ausblick: KI als alltägliches Entwickler-Tool
DeepMind möchte CodeMender mittelfristig Entwicklerinnen und Entwicklern als Werkzeug zur Verfügung stellen. Ziel ist es, Fehler nicht nur effizient zu beheben, sondern auch durch Prävention die Codequalität nachhaltig zu verbessern. Künftige Forschungsberichte sollen weitere Einblicke und Potenziale aufzeigen.
KI Snack
