グーグル・ディープマインドは、ソフトウェアのセキュリティを自動で強化する新しいAIエージェント「CodeMender」を発表した。このAIは、深刻な脆弱性を自動で特定・修正する能力を持ち、開発者が手動で対応する負担を大幅に軽減する。従来の自動化手法では見つけにくかったゼロデイ脆弱性も、AIが発見する例が増えており、人間だけでは対応が追い付かなくなっている状況に応えるための取り組みだ。 CodeMenderは、Gemini Deep Thinkモデルを活用した自律型エージェントで、脆弱性の根本原因を特定し、高品質なパッチを自動生成・適用する。過去6か月間で、72件のセキュリティ修正をオープンソースプロジェクトにマージ。中には450万行規模のコードへの修正も含まれており、実用性を実証している。特に、バッファオーバーフローなどの複雑な問題でも、実行時のデバッグ情報やコード検索ツールを駆使して根元の原因を突き止め、的確な修正を実行している。 また、AIによる変更が意図した動作を保ち、他の機能に悪影響を及ぼさないかを自動検証する仕組みも備えており、人間のレビューに提出されるのは、根本原因を修正済みで、動作が正しく、スタイルガイドに準拠した高品質なパッチのみ。これにより、開発者は本質的なソフトウェア開発に集中できる。 さらに、CodeMenderは単なる修正だけでなく、複数の脆弱性を一括で排除するプロアクティブなセキュリティ強化も可能。たとえば、カスタムCコード生成システムのライフタイム管理問題に対しても、非自明な修正を実現。これは、AIが複雑なコード構造を理解し、実装レベルで改善できる力を示している。 この技術は、AIによるセキュリティ対策の新たな地平を切り開くもので、今後のソフトウェア開発の信頼性向上に貢献すると期待されている。