La división DeepMind de Google anunció el lunes un agente impulsado por inteligencia fabricado (IA) llamado CodeMender que detecta, parchea y reescribe automáticamente código abandonado para evitar futuras vulnerabilidades.
Los esfuerzos se suman a los esfuerzos continuos de la compañía para mejorar el descubrimiento de vulnerabilidades impulsado por IA, como Big Sleep y OSS-Fuzz.
DeepMind dijo que el agente de IA está diseñado para ser reactivo y proactivo, reparando nuevas vulnerabilidades tan pronto como se detectan, así como reescribiendo y asegurando bases de código existentes con el objetivo de eliminar clases enteras de vulnerabilidades en el proceso.
“Al crear y aplicar automáticamente parches de seguridad de inscripción calidad, el agente impulsado por IA de CodeMender ayuda a los desarrolladores y mantenedores a centrarse en lo que mejor saben hacer: crear un buen software”, dijeron los investigadores de DeepMind Raluca Ada Popa y Four Flynn.
“Durante los últimos seis meses que hemos estado construyendo CodeMender, ya hemos incorporado 72 correcciones de seguridad a proyectos de código franco, incluidos algunos de hasta 4,5 millones de líneas de código”.
CodeMender, bajo el capó, aprovecha los modelos Gemini Deep Think de Google para depurar, marcar y corregir vulnerabilidades de seguridad abordando la causa raíz del problema y validarlas para certificar que no desencadenen ninguna regresión.
El agente de inteligencia fabricado, agregó Google, incluso utiliza una útil de crítica basada en un maniquí de jerga holgado (LLM) que resalta las diferencias entre el código innovador y el modificado para confirmar que los cambios propuestos no introducen regresiones y se autocorrigen según sea necesario.
Google dijo que incluso tiene la intención de conseguir lentamente a los mantenedores interesados de proyectos críticos de código franco con parches generados por CodeMender y solicitar sus comentarios, de modo que la útil pueda estar de moda para perseverar seguras las bases de código.
El ampliación se produce cuando la compañía dijo que está instituyendo un Software de remuneración por vulnerabilidad de IA (AI VRP) para informar problemas relacionados con la IA en sus productos, como inyecciones rápidas, jailbreaks y desalineaciones, y superar recompensas que llegan hasta los 30.000 dólares.
En junio de 2025, Anthropic reveló que los modelos de varios desarrolladores recurrieron a comportamientos internos maliciosos cuando esa era la única forma de evitar el reemplazo o ganar sus objetivos, y que los modelos LLM “se portaban menos mal cuando decían que estaba en pruebas y se portaban más mal cuando decían que la situación era verdadero”.
Dicho esto, la reproducción de contenido que viola las políticas, eludir las barreras de seguridad, las alucinaciones, las inexactitudes fácticas, la linaje de avisos del sistema y los problemas de propiedad intelectual no entran adentro del ámbito del AI VRP.
Google, que anteriormente creó un Equipo Rojo de IA dedicado para tocar las amenazas a los sistemas de IA como parte de su Ámbito Seguro de IA (SAIF), incluso introdujo una segunda traducción del ámbito para centrarse en los riesgos de seguridad de los agentes, como la divulgación de datos y las acciones no deseadas, y los controles necesarios para mitigarlos.
La compañía señaló por otra parte que está comprometida a utilizar la IA para mejorar la seguridad y la protección, y a utilizar la tecnología para convidar a los defensores una delantera y contrarrestar la creciente amenaza de los ciberdelincuentes, estafadores y atacantes respaldados por el estado.
