L'AI che fa il lavoro sporco degli sviluppatori Google DeepMind ha lanciato un nuovo agente AI che promette di rivoluzionare la sicurezza del software. Si chiama CodeMender e il suo compito è semplice ma ambizioso: trovare e correggere autonomamente le vulnerabilità nel codice. Non si tratta di un esperimento da laboratorio: negli ultimi sei mesi, ha già contribuito a risolvere 72 problemi di sicurezza reali in progetti open-source consolidati. Identificare e correggere le falle di sicurezza è un processo notoriamente lento e complesso. Anche con strumenti automatici come il "fuzzing" (che bombarda un programma di dati casuali per scovare errori), il carico di lavoro umano rimane enorme. Anzi, il paradosso è che più le AI diventano brave a scoprire falle, più aumenta la pressione sugli sviluppatori per risolverle. Si crea un collo di bottiglia che CodeMender punta a eliminare. Come funziona il "Riparatore di Codice" di Google? CodeMender non si limita a reagire ai problemi. Il suo approccio è duplice. Da un lato, è reattivo: può applicare una patch non appena viene scoperta una nuova vulnerabilità. Dall'altro, è proattivo: analizza e riscrive intere sezioni di codice per eliminare intere classi di bug prima ancora che possano essere sfruttate. Questo libera tempo prezioso per gli sviluppatori, che possono concentrarsi sulla creazione di nuove funzionalità anziché su una caccia al bug senza fine. Alla base di tutto ci sono le capacità di ragionamento avanzate dei modelli Gemini Deep Think di Google. CodeMender non si limita a "tirare a indovinare". Come riportato da Artificial Intelligence News, il sistema utilizza un arsenale di strumenti per analizzare il codice in profondità, capire il flusso dei dati e identificare la vera causa di un problema. È come un detective che esamina la scena del crimine, raccoglie indizi e ricostruisce l'accaduto prima di trovare il colpevole. La vera magia, però, sta nella sua architettura a più agenti. Un agente specializzato propone una correzione, mentre un altro la "critica", confrontando il codice originale con quello modificato per assicurarsi che non ci siano effetti collaterali indesiderati. Se la critica è negativa, il primo agente impara dall'errore e tenta un'altra soluzione. Un processo di auto-correzione che imita il modo in cui lavorerebbe un team di programmatori esperti. Dalla teoria alla pratica: i successi di CodeMender Le capacità di questo agente AI non sono solo teoriche. In un caso pratico, CodeMender ha affrontato un crash causato da un "heap buffer overflow". A prima vista, il problema sembrava in un punto, ma l'agente, usando strumenti di debug, ha capito che la vera causa era un errore di gestione della memoria in una sezione completamente diversa del codice, legata al parsing di file XML. La soluzione finale ha richiesto la modifica di poche righe, ma arrivarci ha richiesto un'analisi complessa che avrebbe potuto impegnare un umano per ore. Ancora più impressionante è il suo lavoro proattivo. Il team lo ha messo alla prova sulla libreria `libwebp`, un componente software usatissimo per la compressione delle immagini. Anni fa, una vulnerabilità proprio in questa libreria (nota come CVE-2023-4863) fu sfruttata per un attacco informatico di alto profilo. CodeMender è intervenuto aggiungendo delle "annotazioni" che istruiscono il compilatore a inserire controlli di sicurezza extra. Secondo DeepMind, con queste modifiche in atto, quella specifica vulnerabilità sarebbe stata resa innocua. Un approccio cauto verso il futuro della sicurezza Nonostante i risultati entusiasmanti, Google sta procedendo con i piedi di piombo. Un errore nel codice di sicurezza può avere conseguenze disastrose. Per questo, ogni singola patch generata da CodeMender viene ancora oggi attentamente revisionata da un ricercatore umano prima di essere inviata a un progetto. La fiducia è un elemento chiave e va costruita passo dopo passo. Il sistema include un framework di validazione automatica che esegue una serie di test rigorosi: la patch risolve davvero il problema? Non introduce nuovi bug? Rispetta lo stile di codifica del progetto? Solo le correzioni che superano tutti i controlli vengono presentate per la revisione umana. L'obiettivo finale è chiaro: dopo aver raccolto abbastanza feedback dalla comunità open-source, Google intende rilasciare CodeMender come uno strumento pubblico a disposizione di tutti gli sviluppatori. Potrebbe essere l'inizio di una nuova era, in cui il software che usiamo ogni giorno diventa fondamentalmente più sicuro, non grazie a uno sforzo umano titanico, ma a un'intelligenza artificiale che lavora instancabilmente dietro le quinte per proteggerci.