Corriger les vulnérabilités logicielles de manière entièrement automatisée, sans aucune validation humaine : c'est l'objectif que s'est fixé DeepMind, filiale d'IA de Google, avec son nouvel agent CodeMender. L'outil présenté le 6 octobre permet de détecter et corriger instantanément les nouvelles vulnérabilités, avant de réécrire le code vulnérable, le sécuriser et éliminer des “familles” de vulnérabilités.
Des fonctions réactives et proactives
CodeMender fonctionne à deux niveaux. La première approche, réactive, est dédiée à la correction automatique des vulnérabilités à partir du moment où elles sont découvertes. CodeMender utilise notamment un débogueur et un navigateur de code source pour identifier les causes profondes de la vulnérabilité avant de proposer un correctif dans la foulée. La deuxième approche, proactive, permet à l'agent de réécrire le code existant afin de créer des API et des structures de données plus sécurisées.
L'agent a été conçu sur le modèle de raisonnement avancé Google Gemini Deep Think. Il intègre également deux outils permettant de faciliter l'analyse du code : d'un côté, un système composé de techniques d'analyse statique, dynamique, de tests différentiels et de fuzzing (tests à données aléatoires) afin d'analyser les schémas de code, flux de données et de contrôle. De l'autre, un système multi-agents aux tâches spécifiques. L'un d'entre eux, appelé “Judge LLM”, sert par exemple à repérer les différences entre le code d'origine et le code modifié afin de s'assurer que les modifications effectuées ne nécessitent pas d'autocorrections ultérieures.
72 correctifs soumis en quelques mois
En quelques mois, CodeMender a soumis 72 correctifs de sécurité à des projets open source, certains d'entre eux représentant plus de 4,5 millions de lignes de code. L'agent a par exemple été déployé pour appliquer des annotations “fbound-safety” dans la bibliothèque de compression d'images libwebp, exploitée lors d'une attaque 0-clic en 2023.
CodeMender a alors permis d'ajouter des vérificateurs de limite au code. “Avec les annotations -fbounds-safety, cette vulnérabilité, ainsi que la plupart des autres dépassements de tampon du projet où nous avons appliqué des annotations, aurait été rendue définitivement inexploitable”, expliquent les chercheurs Raluca Ada-Popa et Four Flynn.
“Bien que nos premiers résultats avec CodeMender soient prometteurs, nous adoptons une approche prudente, privilégiant la fiabilité, ajoute Google DeepMind. Actuellement, tous les correctifs générés par CodeMender sont examinés par des chercheurs avant d'être soumis en amont.” La division d'IA prévoit de contacter les responsables de projets open source intéressés par les correctifs avant de publier l'agent.
Big Sleep, l'agent qui repère les vulnérabilités inconnues
La présentation de CodeMender s'inscrit dans des efforts plus larges portés par DeepMind dans la cybersécurité. La société développe également Big Sleep, un agent destiné à repérer les failles de sécurité. En novembre dernier, Google annonçait que Big Sleep avait repéré une vulnérabilité jusqu'alors inconnue dans le moteur de bases de données open source SQLite.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
