Publié le 11 octobre 2024 06:05:00. Google DeepMind a dévoilé CodeMender, un agent d’intelligence artificielle capable de détecter et de corriger automatiquement les failles de sécurité dans les logiciels, une avancée prometteuse pour renforcer la cybersécurité des projets open source.
- CodeMender a déjà corrigé 72 vulnérabilités vérifiées dans des projets open source au cours des six derniers mois.
- L’outil combine différentes techniques d’analyse, dont l’analyse statique, le fuzzing et l’intelligence artificielle, pour identifier et réparer les failles.
- Tous les correctifs proposés par CodeMender sont actuellement examinés par des humains avant d’être intégrés.
L’amélioration de la sécurité des logiciels est un enjeu crucial à l’heure où les cyberattaques se multiplient. Google DeepMind propose une approche innovante avec CodeMender, un agent d’intelligence artificielle (IA) conçu pour automatiser une partie du processus de détection et de correction des vulnérabilités. S’appuyant sur des modèles de raisonnement avancés et des techniques d’analyse de programmes, CodeMender vise à alléger la charge de travail des développeurs et à accélérer la résolution des problèmes de sécurité.
Les méthodes traditionnelles, telles que l’analyse statique du code ou le fuzzing (consistant à soumettre un programme à des entrées aléatoires pour identifier des erreurs), sont souvent utilisées pour détecter les failles. Cependant, elles nécessitent généralement une validation manuelle et des correctifs élaborés. CodeMender se distingue en adoptant une approche plus globale : il automatise non seulement la découverte des vulnérabilités, mais aussi leur réparation et leur vérification grâce à l’IA.
Selon l’équipe de recherche de DeepMind, CodeMender utilise des modèles de raisonnement de grande taille, combinés à des techniques d’analyse statique et dynamique, de fuzzing et d’analyse symbolique, pour comprendre le comportement d’un programme. Lorsqu’une faille est identifiée, le système génère des correctifs potentiels et effectue des tests automatisés pour s’assurer qu’ils corrigent le problème à la source, sans perturber les fonctionnalités existantes ni introduire de nouvelles erreurs. Seuls les correctifs validés sont ensuite proposés à l’examen d’un humain avant d’être soumis aux projets concernés.
Des exemples concrets illustrent déjà l’efficacité de CodeMender. L’outil a notamment corrigé un débordement de mémoire lié à des erreurs de gestion de la pile XML, et résolu un bogue complexe concernant la durée de vie des objets grâce à des modifications de code non triviales. Il est également capable de renforcer proactivement la sécurité : dans un cas, CodeMender a automatiquement ajouté des annotations de sécurité à la bibliothèque d’images libwebp, largement utilisée, afin de prévenir de futures attaques par débordement de mémoire.
La communauté des experts en sécurité a accueilli favorablement cette annonce. Javid Farahani, PDG de CogMap, a déclaré :
« Un travail impressionnant. La réparation automatisée fait passer l’IA de l’identification des risques au renforcement actif de l’infrastructure. La couche de vérification est essentielle : la confiance viendra de la fiabilité avec laquelle ces systèmes peuvent corriger sans effets collatéraux. »
Javid Farahani, PDG de CogMap
Sur Reddit, les utilisateurs se sont interrogés sur les implications de cette automatisation pour l’avenir de la cybersécurité. L’un d’eux a demandé :
« Je me demande si des robots comme celui-ci seront constamment exécutés à l’avenir ? »
Un autre utilisateur a répondu :
« Oui, et les adversaires exécuteront également ces modèles pour trouver des exploits. Celui qui possède le dernier modèle et le plus de puissance de calcul gagne. Peut-être qu’au lieu des attaques par déni de service distribué (DDoS), les gens détourneront des appareils à des fins de calcul afin d’exécuter des modèles contradictoires. »
DeepMind précise que tous les correctifs générés par CodeMender sont actuellement examinés par des humains avant d’être intégrés aux projets open source. L’équipe insiste sur l’importance de la fiabilité et de la transparence, et prévoit de publier des rapports techniques et des évaluations plus détaillées dans les mois à venir. CodeMender représente une nouvelle approche prometteuse pour l’IA, capable d’améliorer l’écosystème open source en détectant, réparant et prévenant automatiquement les vulnérabilités.
À ne pas manquer
