
Redazione RHC : 7 octubre 2025 15:27
Sería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a producción. Sin embargo, parece que tendremos que acostumbrarnos a esta idea: la inteligencia artificial promete que todo esto ya no es ciencia ficción, sino una realidad inminente.
Google DeepMind ha presentado CodeMender , un nuevo agente de inteligencia artificial diseñado para detectar y corregir automáticamente vulnerabilidades en el código de software. Según el blog oficial de la compañía , el sistema combina las capacidades de los amplios modelos de lenguaje de Gemini Deep Think con un conjunto de herramientas para el análisis y la validación de parches, lo que permite corregir errores con mayor rapidez y precisión que con los métodos tradicionales.
Los desarrolladores señalan que, incluso con herramientas como OSS-Fuzz y Big Sleep , la corrección manual de vulnerabilidades sigue siendo un proceso laborioso. CodeMender aborda este problema de forma integral: no solo responde a nuevos problemas creando parches automáticamente, sino que también reescribe fragmentos de código de forma proactiva, eliminando clases completas de vulnerabilidades.
En los últimos seis meses, el equipo de DeepMind ha contribuido con 72 parches de seguridad a proyectos de código abierto. Estos incluyen bibliotecas que suman más de 4,5 millones de líneas de código. Todos los cambios se revisan para garantizar su corrección y estilo antes de ser sometidos a revisión humana.
CodeMender utiliza los modelos de Gemini para analizar la lógica del programa, el comportamiento del código y verificar automáticamente los resultados. El agente también puede verificar que el parche solucione la causa raíz de la vulnerabilidad y no provoque regresiones.
Para que el proceso sea confiable, DeepMind ha implementado nuevos métodos de análisis: análisis estático y dinámico, pruebas diferenciales, fuzzing y solucionadores SMT. Además, CodeMender se basa en un sistema multiagente, con módulos individuales especializados en diferentes aspectos de la revisión de código, desde la comparación de cambios hasta la autocorrección.
En un ejemplo, CodeMender corrigió un desbordamiento de búfer en el analizador XML al identificar un error en la gestión de la pila de elementos, en lugar de la ubicación real del fallo. En otro caso, el agente propuso una solución compleja relacionada con el ciclo de vida de los objetos y la generación de código C dentro del proyecto.
CodeMender también puede reescribir código existente utilizando estructuras de datos y API más seguras. Por ejemplo, el agente añadió automáticamente anotaciones «fbounds-safety» a la biblioteca libwebp para evitar desbordamientos de búfer. Esta biblioteca se vio afectada previamente por la vulnerabilidad crítica CVE-2023-4863, utilizada en el exploit para iPhone de NSO Group . Los investigadores estiman que, con las nuevas anotaciones, este tipo de ataques ya no serán posibles.
El agente no solo aplica parches, sino que también los prueba automáticamente, corrigiendo nuevos errores y verificando su conformidad funcional con el código fuente. Si se detectan inconsistencias, el sistema utiliza un «juez LLM» para corregir el parche sin intervención humana.
Por ahora, DeepMind mantiene una postura cautelosa: todos los cambios están sujetos a una revisión manual obligatoria. Sin embargo, CodeMender ya está ayudando a mejorar la seguridad de docenas de proyectos populares de código abierto. La compañía planea ampliar la participación de su comunidad y poner la herramienta a disposición de todos los desarrolladores en el futuro.
Los desarrolladores prometen publicar informes técnicos y artículos sobre los enfoques utilizados en CodeMender en los próximos meses. Afirman que el proyecto apenas está comenzando a explotar el potencial de la inteligencia artificial en la seguridad del software.
Redazione
El 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...

Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...

En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...

El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...