Google’s New AI Agent, CodeMender, Automatically Rewrites Vulnerable Code
2025/10/08 CyberSecurityNews — Google が発表した CodeMender は、人工知能 (AI) を搭載する新たなエージェントであり、脆弱性の特定/修正によりソフトウェアのセキュリティを自動的に強化するものだ。この取り組みが目的とするのは、AI の活用によるセキュリティ上の欠陥の迅速な発見と、パッチ適用に必要な手作業への対処である。高度な AI を活用する CodeMender は、新たな脅威に対応するだけではなく、既存のコードをプロアクティブに書き換えて、さまざまな脆弱性をクラスごとに排除する。
プロジェクト開始から6ヶ月で、すでに 72件のセキュリティ修正が複数のオープンソース・プロジェクトに提供されたが、その中にはコードベースが 450万行に及ぶプロジェクトも含まれる。
Google の Big Sleep や OSS-Fuzz などの AI ツールにより、ゼロデイ脆弱性の発見が加速しているが、人間の開発者だけでは管理が困難な、膨大な修正量が発生するという状況の中で、この開発は進められている。
AI エージェント CodeMender
CodeMender は、Google Gemini の Deep Think モデルを搭載する自律エージェントとして動作する。具体的には、ソフトウェアの推論/複雑な問題のデバッグ/モデル自身の変更の検証を可能にする、高度なツール群を備えている。
それにより、提案されたパッチが正しく動作し、新たな問題や回帰が発生しないことが保証される。このエージェントの包括的なアプローチは、新たな脆弱性への事後的なパッチ適用と、安全なプラクティスを採用するための、事前的なコード書き換えを組み合わせたものである。
セキュリティ上の欠陥の真の原因を特定するために、CodeMender は静的/動的な解析と、ファジング、差分テストなどの、高度なプログラム解析技術を採用している。
ある事例として、ヒープバッファ・オーバーフローによるクラッシュの発生というケースでは、エージェントは直近のエラーの先を見据え、解析中の XML 要素のスタック管理が不適切であったことを根本原因として特定した。
そして、効果的なパッチを考案した。このシステムは、LLM ベースの批評ツールを含む特殊なマルチエージェント・システムも使用している。このツールはコードの変更を分析して回帰を防ぎ、エージェントの自己修正を可能にするものだ。
個々のバグを修正するだけではなく、CodeMender は将来の攻撃に対して、事前にコードベースを強化するよう設計されている。ある重要なアプリケーションでは、広く使用されている画像圧縮ライブラリ libwebp に、このエージェントが導入されている。
このエージェントは、コードに境界チェックを追加するためのセキュリティ機能である “-fbounds-safety” アノテーションを体系的に適用している。Google によると、この対策のみで、ゼロクリック iOS エクスプロイトで悪用された、libwebp の脆弱性 CVE-2023-4863 を封じ込めたという。
初期の結果は有望であるが、Google の歩みは慎重であり、AI が生成したすべてのパッチは、提出前に人間の研究者によりレビューされている。
同社は、重要なオープンソース・プロジェクトのメンテナーへの働きかけを徐々に強化し、CodeMender が生成したパッチを提供して、フィード・バックを収集している。
最終的な目標は、このシステムを改良し、すべてのソフトウェア開発者が利用できる、パブリック・ツールとしてリリースすることだ。それは、AI を活用して、すべてのソフトウェア・セキュリティを強化する重要な一歩となる。Googleは、今後の数ヶ月以内に、技術論文やレポートで詳細を発表する予定である。
CodeMender による脆弱性の特定/修正の手法を解説する記事です。具体例として、ヒープバッファ・オーバーフローの事例で、XML 要素のスタック管理不備や境界チェックの欠如を検出したと説明されています。この CodeMender は、静的/動的な解析や、ファジング、差分テストで原因候補を絞り、”-fbounds-safety” のような注釈で境界検査を体系的に追加して、修正案を生成するようです。これは、期待できそうですね。よろしければ、カテゴリ SecTools も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.