Codemender soll Entwicklern Arbeit abnehmen, indem die KI Schwachstellen findet, passende Patches baut und Code an riskanten Stellen so umschreibt, dass ganze Fehlerklassen verschwinden.
Google Deepmind beschreibt dafür einen klaren Ablauf: Der Agent analysiert den Code, schlägt Änderungen vor und prüft diese automatisch, damit keine neuen Fehler entstehen.
Für diese Prüfungen nutze Codemender mehrere Techniken aus der Softwareanalyse – etwa Tests, gezielte Sicherheitstests ("Fuzzing") und Werkzeuge, die Unterschiede zwischen Original und Patch bewerten. Ein spezielles "Kritik"-Modul vergleiche alte und neue Stellen im Code und veranlasse Korrekturen, bevor ein menschlicher Reviewer den Fix freigebe.
Neben dem schnellen Stopfen akuter Lücken setzt Codemender laut Google DeepMind auch auf Vorbeugung. Als Beispiel nennt das Unternehmen die Bildbibliothek libwebp: Dort wurden sogenannte "-fbounds-safety"-Markierungen eingesetzt, damit der Compiler automatische Grenzprüfungen einfügt – ein Schutz gegen typische Pufferüberläufe. So sollen bereits bekannte Angriffswege deutlich erschwert werden.
DeepMind betont, dass alle Patches aktuell noch manuell gegengeprüft und schrittweise mit Open-Source-Maintainerinnen und -Maintainer geteilt werden. Ziel sei es, Codemender weiter zu testen, Feedback aufzunehmen und das Werkzeug so zu entwickeln, dass es langfristig breit in Projekten eingesetzt werden kann.
(dow)
