L'intelligence artificielle ne se contente plus de détecter les failles de sécurité, elle peut dorénavant les corriger. Google vient de dévoiler un agent IA capable de réécrire les programmes dans l'optique de bloquer de futures attaques.
Lundi, DeepMind, la filiale de Google spécialisée dans l’intelligence artificielle, a présenté CodeMender, un agent alimenté par l’IA. Celui-ci est capable de repérer, corriger et réécrire automatiquement le code vulnérable afin d’empêcher toute exploitation future. L'entreprise américaine poursuit ainsi ses travaux sur la découverte de vulnérabilités assistée par IA, déjà amorcés avec Big Sleep et OSS-Fuzz.
Google veut maintenant utiliser l'IA pour corriger les vulnérabilités critiques
Selon DeepMind, CodeMender a été conçu pour intervenir de manière réactive et proactive, adoptant ainsi une double approche. L'agent corrige les nouvelles vulnérabilités dès leur identification tout en réécrivant et sécurisant les bases de code existantes dans le but d'éliminer des catégories entières de failles. « En créant et en appliquant automatiquement des correctifs de sécurité de haute qualité, l'agent alimenté par l'IA de CodeMender aide les développeurs et les mainteneurs à se concentrer sur ce qu'ils font de mieux : construire de bons logiciels », expliquent les chercheurs de DeepMind.
Durant les six derniers mois de développement, l'équipe a déjà intégré 72 correctifs de sécurité dans des projets open source, certains atteignant 4,5 millions de lignes de code. Comme souligné par The Hacker News, CodeMender s'appuie sur les modèles Gemini Deep Think de Google pour déboguer, signaler et corriger les vulnérabilités de sécurité en s'attaquant à la cause première du problème, puis les valider pour garantir qu'elles ne provoquent aucune régression.
Un modèle de langage étendu pour différencier le code original du code modifié
Pour garantir la fiabilité des modifications, l’agent s’appuie également sur un outil de critique basé sur un modèle de langage, qui compare le code initial et le code corrigé afin de s’assurer que les changements proposés n’introduisent pas de nouveaux problèmes, avec une habileté d’auto-correction en cas d’erreur.
Google prévoit de collaborer progressivement avec les mainteneurs de projets open source critiques, en leur proposant les correctifs générés par CodeMender et en recueillant leurs retours pour améliorer l’outil.
Cette initiative s’accompagne par ailleurs de la création d’un programme de récompenses destiné à encourager la déclaration de failles liées à l’IA dans ses produits. Les signalements peuvent concerner des prompt injections, des jailbreaks ou des problèmes d’alignement, avec des récompenses pouvant atteindre jusqu'à 30 000 dollars.
Le géant de Mountain View mise de plus en plus sur l'intelligence artificielle pour renforcer la sécurité face à la menace des cybercriminels. Gageons à présent que cette IA aidera concrètement les développeurs à sécuriser leurs projets open source.
Source : The Hacker News
