作者 | Robert Krzaczyński

译者 | 马可薇

谷歌 DeepMind 推出了 CodeMender，这是一款由 AI 驱动的新型智能代理，能够自动检测、修复并加固软件漏洞。该项目基于最新的推理模型与程序分析技术，旨在减少开发者在定位和修补安全问题上花费的时间。

传统的漏洞检测方法，比如静态分析和模糊测试（fuzzing），虽然长期以来对发现安全漏洞非常有用，但仍然需要大量人工验证与手动修补。CodeMender 采取了更全面的方式——将自动化漏洞发现与基于 AI 的修复和验证相结合。在过去的六个月中，CodeMender 已经为开源项目贡献了 72 个经过验证的补丁，其中一些项目的代码量超过了 400 万行。

研究团队表示，CodeMender 结合了大型推理模型、静态与动态分析、模糊测试以及符号求解器等多种技术，用来推理程序的行为。当系统检测到漏洞时，会生成多个修复候选方案，并通过自动化测试验证这些补丁是否真正解决了根本问题，同时不会破坏现有功能或引入新的错误。只有通过验证的修复方案，才会提交给人工进行最终审查并合并到上游代码中。

早期的修复案例包括：修复一个与 XML 栈处理错误有关的堆缓冲区溢出问题，以及通过较为复杂的代码修改解决了一个对象生命周期管理漏洞。此外，系统还支持主动防御机制——例如，在一个案例中，CodeMender 自动为广泛使用的 libwebp 图像库添加了安全注解，从而防止特定类型的缓冲区溢出攻击在未来被利用。

社区对该项目的反响普遍积极。CogMap CEO Javid Farahani 评论道：

非常令人印象深刻。自动化修复让 AI 从‘发现风险’迈向‘主动强化基础设施’。验证层是关键——信任将取决于这些系统在修复时能否做到稳定可靠、没有副作用。

在 Reddit 上，用户们则讨论了这种自动化可能对网络安全未来的影响。一位用户提问：

想知道这种机器人以后会不会一直在后台运行？

另一位用户回复说：

会的——而且黑客也会用这些模型来找漏洞。谁拥有最新的模型和最强的算力，谁就占优势。也许未来不是 DDoS 攻击了，而是劫持设备来跑对抗性模型。

尽管长期影响仍有待观察，DeepMind 表示，目前所有由 CodeMender 生成的补丁在正式合并之前都会经过人工审核。团队强调“可靠性”和“透明性”是该项目的核心原则，并计划在接下来的几个月中发布技术报告和评估结果。

CodeMender 是一个研究型项目，它展示了 AI 如何以全新的方式推动开源生态的发展——通过自动化的检测、修复与防护，让软件系统变得更安全、更稳定。

原文链接：

https://www.infoq.com/news/2025/10/codemender/

声明：本文为 InfoQ 翻译，未经许可禁止转载。