Redazione RHC : 7 octubre 2025 15:27
Sería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a producción. Sin embargo, parece que tendremos que acostumbrarnos a esta idea: la inteligencia artificial promete que todo esto ya no es ciencia ficción, sino una realidad inminente.
Google DeepMind ha presentado CodeMender , un nuevo agente de inteligencia artificial diseñado para detectar y corregir automáticamente vulnerabilidades en el código de software. Según el blog oficial de la compañía , el sistema combina las capacidades de los amplios modelos de lenguaje de Gemini Deep Think con un conjunto de herramientas para el análisis y la validación de parches, lo que permite corregir errores con mayor rapidez y precisión que con los métodos tradicionales.
Los desarrolladores señalan que, incluso con herramientas como OSS-Fuzz y Big Sleep , la corrección manual de vulnerabilidades sigue siendo un proceso laborioso. CodeMender aborda este problema de forma integral: no solo responde a nuevos problemas creando parches automáticamente, sino que también reescribe fragmentos de código de forma proactiva, eliminando clases completas de vulnerabilidades.
En los últimos seis meses, el equipo de DeepMind ha contribuido con 72 parches de seguridad a proyectos de código abierto. Estos incluyen bibliotecas que suman más de 4,5 millones de líneas de código. Todos los cambios se revisan para garantizar su corrección y estilo antes de ser sometidos a revisión humana.
CodeMender utiliza los modelos de Gemini para analizar la lógica del programa, el comportamiento del código y verificar automáticamente los resultados. El agente también puede verificar que el parche solucione la causa raíz de la vulnerabilidad y no provoque regresiones.
Para que el proceso sea confiable, DeepMind ha implementado nuevos métodos de análisis: análisis estático y dinámico, pruebas diferenciales, fuzzing y solucionadores SMT. Además, CodeMender se basa en un sistema multiagente, con módulos individuales especializados en diferentes aspectos de la revisión de código, desde la comparación de cambios hasta la autocorrección.
En un ejemplo, CodeMender corrigió un desbordamiento de búfer en el analizador XML al identificar un error en la gestión de la pila de elementos, en lugar de la ubicación real del fallo. En otro caso, el agente propuso una solución compleja relacionada con el ciclo de vida de los objetos y la generación de código C dentro del proyecto.
CodeMender también puede reescribir código existente utilizando estructuras de datos y API más seguras. Por ejemplo, el agente añadió automáticamente anotaciones «fbounds-safety» a la biblioteca libwebp para evitar desbordamientos de búfer. Esta biblioteca se vio afectada previamente por la vulnerabilidad crítica CVE-2023-4863, utilizada en el exploit para iPhone de NSO Group . Los investigadores estiman que, con las nuevas anotaciones, este tipo de ataques ya no serán posibles.
El agente no solo aplica parches, sino que también los prueba automáticamente, corrigiendo nuevos errores y verificando su conformidad funcional con el código fuente. Si se detectan inconsistencias, el sistema utiliza un «juez LLM» para corregir el parche sin intervención humana.
Por ahora, DeepMind mantiene una postura cautelosa: todos los cambios están sujetos a una revisión manual obligatoria. Sin embargo, CodeMender ya está ayudando a mejorar la seguridad de docenas de proyectos populares de código abierto. La compañía planea ampliar la participación de su comunidad y poner la herramienta a disposición de todos los desarrolladores en el futuro.
Los desarrolladores prometen publicar informes técnicos y artículos sobre los enfoques utilizados en CodeMender en los próximos meses. Afirman que el proyecto apenas está comenzando a explotar el potencial de la inteligencia artificial en la seguridad del software.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
