Inhalt
summary Zusammenfassung

Ein neues Forschungsprojekt von Google Deepmind nutzt künstliche Intelligenz, um Schwachstellen im Code zu erkennen, zu beheben und künftig sogar ganze Fehlerklassen präventiv auszuschalten. Laut dem Unternehmen hat CodeMender bereits Dutzende Patches in Open-Source-Projekten geliefert.

Anzeige

Nach Angaben von Google Deepmind arbeitet das Unternehmen an einem automatisierten Verfahren zur Erkennung und Behebung von Software-Sicherheitslücken. Das Projekt mit dem Namen CodeMender soll Programmcode analysieren und eigenständig Sicherheitskorrekturen vorschlagen oder anwenden.

Die Forscher verweisen auf den wachsenden Aufwand bei der Beseitigung von Schwachstellen, der durch klassische Methoden wie Fuzzing oder statische Analyse nicht mehr vollständig beherrscht werde. Frühere Projekte wie Big Sleep und OSS-Fuzz hätten bereits gezeigt, dass KI neue Fehler in etablierten Programmen finden kann. CodeMender soll diese Arbeitsschritte nun automatisieren und zugleich die Qualität der Reparaturen prüfen.

Kombinierte Analyse- und Validierungssysteme

Der Agent basiert auf dem Sprachmodell Gemini Deep Think und kombiniert mehrere Verfahren: statische und dynamische Codeanalyse, Differentialtests, Fuzzing sowie SMT-Solver. Änderungen werden automatisch geprüft, unter anderem durch ein internes Tool, das Unterschiede zwischen Original- und Zielcode bewertet und bei Bedarf Korrekturen veranlasst.

Anzeige
Anzeige

Video: Google

Laut Deepmind dient dieser mehrstufige Prüfprozess dazu, nur Patches weiterzugeben, die funktional korrekt und rückverfolgbar sind. Alle Vorschläge werden derzeit von menschlichen Forschenden überprüft, bevor sie in Softwareprojekte eingespielt werden.

Zusammenarbeit mit der Open-Source-Community

In einem Testprojekt konnte CodeMender laut Deepmind die Ursache eines Heap-Buffer-Overflows in XML-Code finden, der auf fehlerhaftes Stack-Management zurückging – ein Problem, das aus der Absturzmeldung allein nicht ersichtlich war. In einem weiteren Beispiel passte der Agent den Lebenszyklus von C-Objekten in einer generativen Codebasis an, um Speicherfehler zu verhindern.

Die Software aber auch bestehenden Code präventiv absichern. Dazu setzt Deepmind etwa „-fbounds-safety“-Annotationen ein, die Compiler-Prüfungen gegen Speicherzugriffsfehler aktivieren. Das Verfahren wurde auf Teile der weit verbreiteten libwebp-Bibliothek angewendet. Eine frühere Schwachstelle in libwebp (CVE-2023-4863) war 2023 Teil eines iOS-Zero-Click-Angriffs der NSO Group. Laut Deepmind könnten solche Schwachstellen durch die neuen Compiler-Sicherungen abgeschwächt oder vollständig vermieden werden.

Seit dem Start hat CodeMender laut Deepmind mehr als 70 Sicherheitskorrekturen in Open-Source-Projekte eingebracht, teilweise in große Codebasen mit mehreren Millionen Zeilen. Alle Änderungen unterliegen einer manuellen Prüfung, bevor sie veröffentlicht werden. Langfristig will Deepmind den Agenten als Werkzeug für Entwickler zur Verfügung stellen und die Ergebnisse in weiteren Forschungsberichten dokumentieren.

Anzeige
Anzeige
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!
Empfehlung
Unterstütze unsere unabhängige, frei zugängliche Berichterstattung. Jeder Betrag hilft und sichert unsere Zukunft. Jetzt unterstützen:
Banküberweisung
Zusammenfassung
  • Google Deepmind entwickelt mit CodeMender ein KI-gestütztes System, das Programmcode automatisiert auf Sicherheitslücken untersucht, Korrekturen vorschlägt und diese nach einem mehrstufigen Prüfprozess bereitstellt.
  • Der Agent kombiniert verschiedene Analyseverfahren wie statische und dynamische Codeanalyse, Fuzzing und SMT-Solver und prüft alle Änderungen automatisch. Bevor Korrekturen übernommen werden, erfolgt eine manuelle Kontrolle durch Fachleute.
  • In Zusammenarbeit mit der Open-Source-Community hat CodeMender bereits mehr als 70 Sicherheitskorrekturen in große Softwareprojekte eingebracht und kann mit Compiler-Annotationen auch präventiv Schutz gegen bestimmte Fehlerklassen bieten.
Quellen
Max ist leitender Redakteur bei THE DECODER. Als studierter Philosoph beschäftigt er sich mit dem Bewusstsein, KI und der Frage, ob Maschinen wirklich denken können oder nur so tun als ob.
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!