بالا بردن امنیت کدها بصورت خودکار با CodeMender

🔐 گوگل دیپ‌مایند از کُدمنِدر | CodeMender که نوعی ترمیم‌کننده کدهاست رونمایی کرد.

گوگل دیپ‌مایند از یک دستیار هوش مصنوعی جدید با نام کُدمنِدر رونمایی کرده است؛ ابزاری که می‌تواند آسیب‌پذیری‌های نرم‌افزاری را شناسایی، تحلیل و به‌صورت خودکار برطرف نماید. این عامل مبتنی بر هوش مصنوعی، بخشی از پژوهش‌های جدید دیپ‌مایند در حوزه‌ی امنیت نرم‌افزار است و به گفته‌ی این شرکت، می‌تواند عصر تازه‌ای از امنیت خودترمیمی در دنیای کدنویسی را رقم بزند.

🧠 CodeMender دقیقاً چه کاری انجام می‌دهد؟

یافتن و برطرف کردن خطاهای امنیتی، یکی از پرهزینه‌ترین و زمان‌برترین مراحل توسعه‌ی نرم‌افزار است. دیپ‌مایند می‌گوید CodeMender این فرایند را به‌طور کامل خودکار کرده است.

این عامل با بهره‌گیری از مدل‌های پیشرفته‌ی Gemini Deep Think قادر است کد را تحلیل کند، ریشه‌ی اصلی باگ را شناسایی کند و وصله‌ی اصلاحی دقیق و سازگار با ساختار برنامه بنویسد — بدون اینکه عملکرد اصلی برنامه تغییر کند.

دیپ‌مایند اعلام کرده است که در شش ماه گذشته، کُدمنِدر توانسته بیش از ۷۲ وصله‌ی امنیتی معتبر را برای پروژه‌های متن‌باز ارسال کند؛ از جمله پروژه‌هایی با بیش از ۴.۵ میلیون خط کد.

⚙️ CodeMender چگونه آسیب‌پذیری‌ها را پیدا و برطرف می‌کند؟

CodeMender در واقع یک «عامل چندابزاره» است که مجموعه‌ای از فناوری‌های پیشرفته را با مدل‌های زبانی ترکیب می‌کند. از جمله:

• تحلیل ایستا و پویا برای بررسی جریان داده‌ها و کنترل برنامه،
• تست تفاضلی و fuzzing برای کشف رفتارهای غیرمنتظره،
• حل‌کننده‌های منطقی (SMT Solvers) برای اطمینان از درستی منطقی اصلاحات،
• و یک قاضی هوش مصنوعی (LLM Judge) که صحت و عملکرد وصله را ارزیابی می‌کند.

این ساختار چندلایه باعث می‌شود CodeMender تنها وصله‌هایی را پیشنهاد دهد که از نظر فنی، عملکردی و سبکی کاملاً تأیید شده‌اند.

🧩 مثال‌های واقعی از عملکرد CodeMender

در یکی از نمونه‌ها، CodeMender موفق شد باگی از نوع Heap Buffer Overflow را در یک کتابخانه XML شناسایی کند. این باگ در ظاهر ساده به نظر می‌رسید، اما علت اصلی در مدیریت نادرست پشته‌ی عناصر XML نهفته بود — موضوعی که معمولاً حتی از دید توسعه‌دهندگان حرفه‌ای هم پنهان می‌ماند.

در نمونه‌ی دیگر، CodeMender توانست باگ پیچیده‌ای در مدیریت طول عمر اشیاء در یک سیستم تولید کد C را شناسایی و برطرف کند. این نوع مشکلات معمولاً به‌سختی قابل‌ردیابی هستند و حل آن‌ها به ساعت‌ها دیباگ انسانی نیاز دارد.

🛡 بازنویسی پیشگیرانه‌ی کدها برای افزایش امنیت

CodeMender فقط آسیب‌پذیری‌ها را برطرف نمی‌کند؛ بلکه می‌تواند کدهای موجود را بازنویسی کرده و از ساختارها و APIهای ایمن‌تر استفاده کند.

برای نمونه، دیپ‌مایند اعلام کرده که این عامل در کتابخانه‌ی libwebp (مورد استفاده در مرورگرها و اپلیکیشن‌های فراوان) موفق شده است به‌صورت خودکار حاشیه‌نویسی‌های امنیتی -fbounds-safety را اضافه کند؛ تغییری که مانع از بروز حملات سرریز بافر می‌شود.

این همان کتابخانه‌ای است که در سال ۲۰۲۳، یکی از آسیب‌پذیری‌های آن (CVE-2023-4863) به‌عنوان بخشی از یک حمله‌ی خطرناک به iOS مورد استفاده قرار گرفت. دیپ‌مایند می‌گوید اگر این اصلاحات در آن زمان وجود داشت، چنین حمله‌ای اساساً ممکن نبود.

🧭 گام محتاطانه اما بزرگ

دیپ‌مایند تأکید کرده که هنوز تمام وصله‌های CodeMender پیش از انتشار توسط پژوهشگران انسانی بررسی می‌شوند تا از دقت و پایداری کامل اطمینان حاصل شود. اما هدف نهایی، عرضه‌ی نسخه‌ای عمومی است که توسعه‌دهندگان بتوانند از آن برای ایمن‌سازی خودکار پروژه‌هایشان استفاده کنند.

به گفته‌ی تیم تحقیقاتی، CodeMender در ماه‌های آینده با گزارش‌ها و مقالات علمی تکمیلی همراه خواهد بود تا جزئیات فنی و نتایج آزمایش‌های بیشتر منتشر شود.

💡 چشم‌انداز: آینده‌ی بدون باگ؟

CodeMender نشان می‌دهد که هوش مصنوعی می‌تواند از مرحله‌ی «یادگیری و تولید کد» فراتر برود و به حافظ امنیت اکوسیستم نرم‌افزار تبدیل شود.
اگر این فناوری در مقیاس گسترده به کار گرفته شود، می‌توان آینده‌ای را متصور شد که در آن سیستم‌ها، کدهای خود را می‌نویسند، بررسی می‌کنند و در صورت خطا، خودشان را اصلاح می‌کنند.

📎 منبع: وبلاگ رسمی Google DeepMind – Introducing CodeMender
✍️ تحریریه‌ی هوش مصنوعی سیمرغ
🕊 SimorghAI.ir | رسانه تخصصی هوش مصنوعی ایران