La division de recherche en intelligence artificielle de Google vient de lever le voile sur CodeMender, un agent automatisé conçu pour identifier et corriger les vulnérabilités logicielles avant que des pirates informatiques ne puissent les exploiter. Cet outil s’inscrit dans une démarche proactive de sécurisation du code, particulièrement pour les projets open source qui constituent souvent des cibles privilégiées.
Le système génère des correctifs que des chercheurs humains peuvent ensuite examiner avant leur déploiement. Une approche qui combine l’efficacité algorithmique et la validation humaine pour renforcer la fiabilité des corrections proposées.
Une architecture technique reposant sur plusieurs méthodologies d’analyse
CodeMender s’appuie sur le modèle Gemini Deep Think développé par DeepMind et mobilise simultanément plusieurs techniques d’investigation.
Parmi celles-ci figurent le fuzzing (qui consiste à soumettre des données aléatoires pour provoquer des comportements inattendus), l’analyse statique du code ainsi que les tests différentiels. Cette combinaison permet au système de remonter jusqu’aux causes profondes des bugs et d’éviter l’apparition de régressions lors des modifications.
Raluca Ada Popa et John Flynn, respectivement chercheuse senior et vice-président sécurité chez DeepMind, ont partagé des résultats concrets : au cours des six derniers mois, CodeMender a contribué à l’intégration de soixante-douze correctifs de sécurité dans des projets open source. Certains d’entre eux concernent des bases de code dépassant les quatre millions et demi de lignes.
À LIRE AUSSI : Les agents IA autonomes entre promesses ambitieuses et réalité contrastée
Un fonctionnement dual pour une protection maximale
L’agent peut opérer selon deux modes distincts. D’une part, il intervient de manière réactive en réparant les failles déjà découvertes. D’autre part, il adopte une posture proactive en réécrivant des portions de code pour éliminer des catégories entières de vulnérabilités avant même qu’elles ne se manifestent.
Le système ambitionne par ailleurs d’alléger la charge de maintenance sécuritaire : avant de solliciter une validation humaine, il procède lui-même à la vérification de ses propres correctifs. De quoi optimiser le flux de travail des équipes tout en maintenant un contrôle humain sur les décisions finales.
L’humain reste au cœur du processus décisionnel
Google insiste particulièrement sur la dimension collaborative de CodeMender. Loin de vouloir remplacer les experts en sécurité, l’outil se positionne comme un assistant capable d’absorber le volume croissant de vulnérabilités que les systèmes automatisés parviennent désormais à détecter. L’étape de révision par des professionnels demeure centrale dans la philosophie du projet.
Pour illustrer ses capacités, l’équipe cite le cas de la bibliothèque libwebp dédiée à la compression d’images. CodeMender y a appliqué automatiquement des annotations spécifiques (baptisées -fbounds-safety) sur certaines portions du code. Ces annotations contraignent le compilateur à vérifier les limites des tampons mémoire, réduisant ainsi les risques d’attaques par débordement de buffer. D’après DeepMind, cette modification aurait pu prévenir des exploits survenus par le passé.
À LIRE AUSSI : L’explosion des investissements dans l’infrastructure IA révèle une course technologique sans précédent
Une réponse à l’armement croissant des acteurs malveillants
Les développeurs reconnaissent que les cybercriminels intègrent de plus en plus l’intelligence artificielle dans leurs arsenaux offensifs. Face à cette évolution, ils estiment indispensable de doter les défenseurs d’outils équivalents. CodeMender s’inscrit précisément dans cette logique d’équilibrage des forces en présence.
DeepMind prévoit d’élargir les phases de test en collaboration avec les mainteneurs de projets open source. Une fois que la fiabilité du système aura été confirmée de manière satisfaisante, l’entreprise envisage une mise à disposition plus large auprès de la communauté des développeurs.
En parallèle, Google a également procédé à une révision de son cadre de sécurité pour l’IA et lancé un nouveau programme de récompense dédié aux failles liées à l’intelligence artificielle.
SOURCE : TechRadar
