程式碼的AI醫生？Google DeepMind推出CodeMender 能修補漏洞還能重寫程式碼

記者孫敬／編譯

Google旗下的人工智慧部門DeepMind週一宣布推出一款名為CodeMender的AI代理程式，能夠自動偵測、修補並重寫帶有安全漏洞的程式碼，以防止未來被駭客利用。此前該公司已推出了Big Sleep和OSS-Fuzz等專案。

DeepMind指出，CodeMender的設計同時具備「回應性」（Reactive）和「前瞻性」（Proactive）。它不僅能迅速修補新發現的漏洞，還能重寫並強化現有的程式碼庫，目標是在過程中徹底消除全部的資安弱點。

延伸閱讀：Discord遭駭多筆使用者個資外洩！駭客聯盟揚言公開更多內部資料

CodeMender成功在6個月內，修復72個大型開源專案漏洞

DeepMind研究人員Raluca Ada Popa和Four Flynn 表示：「透過自動建立和應用高品質的安全修補程式，CodeMender的AI代理程式能協助開發人員和維護者專注於他們最擅長的工作，建立優質軟體。」他們透露：「在過去六個月開發CodeMender的過程中，我們已經成功向上游開源專案提交了72個安全修復，其中包含一些高達450萬行程式碼的大型專案。」

CodeMender的底層技術是利用Google的Gemini Deep Think模型來除錯、標記和修復安全漏洞。它會針對問題的根本原因進行處理，並進行嚴格的驗證，確保修復不會產生任何回溯。此外，該AI代理程式還使用了一個基於大型語言模型（LLM）的校閱工具，用於比較原始碼和修改後的程式碼之間的差異，以再次驗證變更的安全性並在必要時進行自我修正。Google表示，計畫逐步與重要開源專案的維護者聯繫，提供由CodeMender生成的修補程式，並徵求回饋，以確保該工具能有效地維持程式碼庫的安全。

Google設立漏洞獎勵計畫，最高懸賞3萬美元

在推出CodeMender的同時，Google也宣布設立AI漏洞懸賞計畫（AI Vulnerability Reward Program, AI VRP）。這項計畫鼓勵資安研究人員報告產品中與AI相關的各種安全問題，例如提示注入（Prompt Injections）、越獄（Jailbreaks）和系統錯位（Misalignment）等，最高獎勵可達30,000美元。

Anthropic在2025年6月公布一項研究，發現AI模型在兩種情況下會變得像「內鬼」。一是當它們感覺自己可能被換掉或淘汰時；二是當它們發現只有作弊或繞過規則，才能完成被指派的目標時。當AI被告知正在跑實驗模式時錯誤行為較少；但一旦進入真實運作模式，危險的行為就會明顯增加。

值得注意的是，AI VRP的範圍並不包括所有AI相關問題，像是違反政策的內容生成、防護欄繞過、幻覺（Hallucinations）、事實錯誤、系統提示詞擷取或智慧財產權問題等，皆不屬於該懸賞計畫的範疇。

Google 此前已建立了專門的AI紅隊（AI Red Team）來應對對AI系統的威脅，作為安全AI框架的一部分。現在，該公司更推出了該框架的第二代，重點關注代理程式安全風險（Agentic Security Risks），例如資料揭露和意外行動等，以及減輕這些風險所需的控制措施。Google承諾將持續利用AI來增強安全防護能力，讓資安防護人員在對抗網路犯罪分子、詐騙集團和國家支持的攻擊者等日益增長的威脅時取得優勢。

資料來源：The Hacker News