Google DeepMind ha svelato un tool che potrebbe ostacolare il “lavoro” dei cybercriminali. CodeMender è un agente AI in grado di rilevare e correggere automaticamente le vulnerabilità nei software generando la patch o riscrivendo il codice. L’azienda di Mountain View ha inoltre annunciato il nuovo AI Vulnerability Reward Program (AI VRP) con premi fino a 20.000 dollari.
Come funziona CodeMender
L’intelligenza artificiale viene ormai sfruttata per qualsiasi attività, inclusa la scrittura di malware. Anche il testo delle email di phishing, ad esempio, viene generato dai chatbot per renderlo indistinguibile da una comunicazione ufficiale.
La ricerca delle vulnerabilità è uno dei compiti più impegnativi per gli sviluppatori, soprattutto per quelli che gestiscono progetti open source e non hanno le risorse economiche delle grandi aziende. Sulla base dei precedenti tool, Google DeepMind ha creato CodeMender, un agente AI che migliora la sicurezza del software individuando e correggendo le vulnerabilità in maniera automatica.
Negli ultimi sei mesi, CodeMender ha rilevato 72 bug nei progetti open source, analizzando oltre 4,5 milioni di linee di codice. Il tool sfrutta il modello Gemini 2.5 Deep Think con capacità di ragionamento e agentiche che ha vinto la medaglia d’oro alle Olimpiadi di matematica.
Il processo di convalida automatica di CodeMender garantisce che le modifiche al codice siano corrette sotto molti aspetti, presentando alla revisione umana solo patch di alta qualità che risolvono la causa principale del bug, sono funzionalmente corrette, non causano regressioni e seguono le linee guida di stile.
CodeMender è in realtà un sistema multi-agente che utilizza diverse tecniche in parallelo per l’analisi del codice. Il tool può essere utilizzato in maniera proattiva attraverso la riscrittura del codice in modo da eliminare intere classi di vulnerabilità. Tutte le patch generate vengono esaminate da umani prima della pubblicazione.
AI Vulnerability Reward Program
Da quasi due anni, il Vulnerability Reward Program (VRP) di Google prevede la segnalazione di vulnerabilità nei software AI, tra cui quelle che possono essere sfruttate per un attacco di prompt injection. Ora è disponibile il programma dedicato AI Vulnerability Reward Program (AI VRP).
Sono previste otto categorie di vulnerabilità che riguardano i prodotti Google. Per i ricercatori di sicurezza ci sono premi compresi tra 100 e 20.000 dollari. La somma più alta si ottiene per vulnerabilità scoperte in Google Search, Gemini e Google Workspace che permettono di prendere il controllo dell’account della vittima.
