エンジニアリング - ENGINEERING -

AIがソフトウェアの脆弱性を自動修正──Google DeepMind、新エージェント「CodeMender」を発表

Google DeepMindは2025年10月10日、ソフトウェアの脆弱性を自動的に検出・修正するAIエージェント「CodeMender」を[発表]{target=“_blank”}した。 同エージェントは大規模言語モデル「Gemini Deep Think」を基盤とし、深層推論を活用して安全で安定したコード改変を行う。DeepMindは「AIが自ら脆弱性を理解し、修正案を提案・検証する」という新しいセキュリティサイクルを構築したと説明している。 ## 72件の脆弱性を自動修正 CodeMenderはすでにオープンソースソフトウェアの実環境でテストされており、これまでに72件のセキュリティ修正を開発元のリポジトリへ統合した。対象コードには約450万行規模の大規模プロジェクトも含まれる。 DeepMindによれば、修正対象の一例として画像処理ライブラリ「libwebp」でのメモリ管理エラーがあり、AIによる自動改修によってバッファオーバーフロー耐性が向上したという。 ## 「反応型」と「先制型」AIによる修正 CodeMenderは、既知の脆弱性に即応する反応型（reactive）と、将来的に問題を起こす可能性のある構造を事前に書き換える先制型（proactive）の2モードを備える。 内部では、静的解析・動的解析・ファジングなどを組み合わせた検査手法を使用し、修正案の妥当性をGemini Deep Thinkが多段階で検証。AIが生成したパッチは必ず人間エンジニアのレビューを経る仕組みで、誤修正を防ぐ安全策も講じられている。 **図：CodeMenderの自動修正フロー。LLMエージェントが脆弱性を検出し、Validatorが修正案を検証した後、人間によるパッチレビューを経てコードリポジトリへ統合する。** ![fixing vulnerabilities.jpg] :::small 画像の出典：[Google]{target=“_blank”} ::: ## セキュリティ運用の自動化へ DeepMindは、「CodeMenderはAIによるソフトウェアセキュリティの自動化を推進する重要な一歩」と位置づけている。今後はGoogleのSecure AI Framework（SAIF）やAI Vulnerability Reward Program（AI VRP）など、既存のセキュリティ施策と連携して展開を進める予定だ。 また、オープンソース開発者コミュニティとの協力を通じて、より多くのプロジェクトでのAI自動修正を実用化していくとしている。 :::box [関連記事：AIが未発見のバグを検出 ─ GoogleがSQLiteにおける脆弱性をAI技術で特定 従来の手法では検出困難] ::: :::box [関連記事：Googleが新たなセキュリティ強化策「AIサイバーディフェンスイニシアチブ」] ::: :::box [関連記事：米政府 AI武器にしたハッキングコンテスト「AIサイバーチャレンジ」開始—DEF CONで決勝へ] ::: :::box [関連記事：2024年版ガートナー「AIコードアシスタント」の評価] ::: :::box [関連記事：GitHub、AIによるコード脆弱性自動修正機能をパブリックベータ提供開始—Code Scanning Autofix] :::