谷歌DeepMind近日推出名为CodeMender的新型AI安全Agent，旨在自动修复软件中的关键漏洞。该系统利用先进的AI技术，实现对代码安全的主动与被动双重防护，显著提升开发效率。 软件漏洞的发现与修复长期以来耗时耗力，即使借助传统自动化工具如模糊测试（fuzzing），仍难以应对复杂问题。DeepMind此前的AI项目如Big Sleep和OSS-Fuzz已成功发现多个“零日漏洞”。随着AI在漏洞发现方面能力的增强，仅靠人工已难以为继。CodeMender应运而生，它不仅能即时修复新出现的漏洞，还能主动重构现有代码，从根本上消除特定类型的漏洞。 在过去的六个月中，CodeMender已向开源项目上游提交了72个安全补丁，其中部分项目代码量高达450万行。该AI代理基于Gemini Deep Think模型构建，具备自主推理能力，可分析代码、生成补丁并自动验证修改的正确性，确保不会引入回归问题。 CodeMender通过集成调试器、源码浏览器等工具，精准定位漏洞根源。例如，在一个案例中，尽管崩溃报告显示为堆缓冲区溢出，但真实原因却是XML解析过程中栈管理错误，CodeMender成功识别出这一深层问题。在另一复杂案例中，系统还独立解决了涉及自定义C代码生成系统的对象生命周期问题，展现了其处理高难度修复任务的能力。 为确保补丁质量，CodeMender设置了严格的自动验证机制，仅将符合标准的补丁提交给人类审核——这些补丁必须真正修复根本原因、功能正确、无副作用且符合编码规范。 此外，DeepMind还开发了多项新方法，提升CodeMender的推理与验证能力。该项目团队由Alex Rebert、Arman Hasanzadeh、Carlo Lemos、Charles Sutton等研究人员共同完成，标志着AI在软件安全领域迈出关键一步。