Google presenta CodeMender, l’IA che trova e corregge le vulnerabilità del codice prima che diventino un problema (mistergadget.tech)
Una nuova arma contro bug e attacchi informatici, sviluppata da DeepMind per rendere il software più sicuro e autonomo
L’intelligenza artificiale ha già rivoluzionato la programmazione, accelerando lo sviluppo di app, la risoluzione dei problemi e persino la ricerca scientifica. Ma c’è un lato oscuro: gli stessi strumenti che aiutano gli sviluppatori possono anche essere usati per creare malware, trovare falle di sicurezza e sfruttare vulnerabilità su larga scala.
Per contrastare questo rischio crescente, Google DeepMind ha sviluppato un nuovo sistema di AI capace non solo di individuare le vulnerabilità nel codice, ma anche di correggerle autonomamente. Il suo nome è CodeMender, e promette di cambiare radicalmente il modo in cui la sicurezza del software viene gestita.
Indice
Un’intelligenza artificiale che corregge da sola il codice
Google descrive CodeMender come uno strumento in grado di “applicare patch in modo proattivo, riscrivere e proteggere il codice esistente, eliminando intere classi di vulnerabilità”.
Sviluppato in circa sei mesi, il sistema ha già dato prova di sé: ha corretto 72 bug di sicurezza in progetti open source, alcuni dei quali contenevano milioni di righe di codice.
Alla base di CodeMender c’è Gemini Deep Think, uno dei modelli di linguaggio più avanzati di Google, progettato per operare come agente autonomo: può analizzare, modificare e validare il codice senza bisogno di intervento umano diretto.
Il funzionamento è sorprendentemente razionale: l’IA analizza i requisiti, aggiunge o modifica il codice necessario e poi verifica che le nuove modifiche non causino altri errori. In contesti ad alto rischio, però, Google mantiene un approccio prudente: ogni modifica proposta da CodeMender viene revisionata da esperti umani prima di essere integrata definitivamente.
Come funziona CodeMender nel dettaglio
Correggere i bug non è solo questione di trovare l’errore. È una corsa contro il tempo, soprattutto quando si parla di vulnerabilità zero-day, cioè difetti sconosciuti che vengono già sfruttati da hacker prima che gli sviluppatori possano risolverli.
In questi casi, CodeMender interviene in modo rapido e mirato, analizzando il codice e “chiudendo” le falle prima che possano essere sfruttate. Lo fa utilizzando un insieme di tecniche avanzate come:
- analisi statica e dinamica del codice,
- test differenziali per confrontare i comportamenti prima e dopo la modifica,
- fuzzing per individuare input anomali o dannosi,
- risolutori SMT per rilevare incoerenze logiche.
Ma il vero punto di forza è che l’IA non si limita a leggere singole righe di codice: modella l’intero comportamento del programma, analizzando come i dati “fluiscono” al suo interno. In questo modo riesce a identificare non solo i bug superficiali, ma anche problemi architetturali più profondi.
Il nuovo fronte della sicurezza informatica
Non è la prima volta che Google sperimenta l’unione tra AI e sicurezza. Già nel 2024, con il progetto OSS-Fuzz, il colosso di Mountain View aveva scoperto decine di vulnerabilità nel codice open source che gli analisti umani non avevano individuato — tra cui un bug rimasto nascosto per oltre vent’anni.
Con CodeMender, questo approccio diventa più completo e automatizzato, evolvendo verso un sistema in grado non solo di trovare errori, ma anche di correggerli in autonomia e convalidarli.
Perché strumenti come CodeMender sono ormai indispensabili
Con l’esplosione dell’intelligenza artificiale generativa, il numero di superfici di attacco è cresciuto in modo esponenziale. Oggi anche gli strumenti di AI possono essere manipolati: una ricerca di Anthropic (società sostenuta da Google e Amazon) ha dimostrato che bastano 250 documenti malevoli per “avvelenare” un grande modello linguistico, aprendo la strada a backdoor e violazioni di sicurezza su larga scala.
Il governo del Regno Unito, insieme all’AI Security Institute e all’Alan Turing Institute, ha già lanciato l’allarme: l’IA generativa può facilitare phishing, creazione di malware e attacchi informatici automatizzati.
Anche il Google Cloud Cybersecurity Forecast 2024 ha confermato la tendenza, sottolineando che i criminali informatici stanno iniziando a usare l’AI con la stessa efficacia delle aziende che cercano di difendersi.
Ed è proprio qui che entra in gioco CodeMender: una risposta tecnologica per bilanciare il potere dell’AI offensiva con strumenti di AI difensiva.
Il futuro della sicurezza passa per l’intelligenza artificiale
Secondo Google, “diventerà sempre più difficile per gli esseri umani da soli tenere il passo con la complessità del software moderno”.
Anche se la data di rilascio pubblico di CodeMender non è ancora stata annunciata, è probabile che lo strumento venga inizialmente destinato ai clienti enterprise, data l’elevata potenza di calcolo necessaria per eseguirlo.
Ma una cosa è chiara: la sicurezza informatica del futuro non sarà solo fatta di esperti e firewall, ma anche di intelligenze artificiali che imparano, correggono e proteggono il codice in tempo reale.
E con CodeMender, Google vuole essere la prima a scrivere questa nuova regola del gioco.
