IA CodeMender do Google chega com a promessa de automatizar a detecção e a correção de falhas de segurança em softwares, reduzindo o tempo entre identificação e solução de vulnerabilidades.
A ferramenta, criada pela divisão DeepMind, atua tanto de forma reativa, ao consertar problemas recém-descobertos, quanto proativa, ao varrer bases legadas de código em busca de classes inteiras de brechas que possam ser exploradas por invasores no futuro. Nos últimos seis meses de testes, o sistema aplicou 72 patches em projetos de código aberto com até 4,5 milhões de linhas.
IA CodeMender do Google corrige bugs de segurança crítica
Os pesquisadores Raluca Ada Popa e Four Flynn explicam que o agente de inteligência artificial utiliza os modelos Gemini Deep Think como “cérebro”. A análise combina técnicas de análise estática e dinâmica, fuzzing, testes diferenciais e solucionadores SMT para encontrar a causa raiz de cada falha antes de gerar o patch. Apenas correções que eliminam o problema sem criar regressões, seguem o estilo do projeto e passam por uma bateria de validações são encaminhadas para revisão humana.
Nesse processo, o CodeMender opera em um sistema multiagentes. Um agente atua como crítico, comparando versão original e modificada, apontando inconsistências e forçando nova iteração até que a solução esteja estável. Caso emblemático citado pelo Google envolveu um heap buffer overflow ligado a gerenciamento inadequado de XML; poucas linhas foram alteradas, mas a análise revelou dependências profundas que escapavam à revisão manual.
A capacidade de reescrever trechos antigos para adotar APIs mais seguras também se destaca. Na biblioteca libwebp, por exemplo, o CodeMender adicionou anotações “-fbounds-safety” que instruem o compilador a impedir explorações de estouro de buffer, técnica semelhante à usada no ataque zero-click catalogado como CVE-2023-4863.
Especialistas apontam que soluções autônomas como essa podem mudar a balança na chamada “corrida armamentista” entre atacantes e defensores. Estudos do NIST indicam que 60% das vulnerabilidades críticas permanecem sem patch por mais de 90 dias, período que o Google pretende encurtar drasticamente.
Por ora, todo patch criado passa por aprovação humana antes de ser submetido aos mantenedores dos projetos. O Google informa que a implantação será escalonada, acompanhada de artigos técnicos detalhando as metodologias.
Quer acompanhar mais novidades sobre cibersegurança e inteligência artificial? Visite nossa seção de notícias para continuar informado.
Crédito da imagem: Divulgação/Google
