Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 7 Ottobre 2025 15:25
Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Eppure, sembra proprio che dovremo abituarci a questa idea: le intelligenze artificiali promettono che tutto questo non è più fantascienza, ma una realtà ormai vicina.
Google DeepMind ha presentato CodeMender, un nuovo agente di intelligenza artificiale progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Secondo il blog ufficiale dell’azienda, il sistema combina le capacità dei grandi modelli linguistici di Gemini Deep Think con un set di strumenti per l’analisi e la convalida delle patch, consentendo di correggere i bug in modo più rapido e accurato rispetto ai metodi tradizionali.
Gli sviluppatori sottolineano che, anche utilizzando strumenti come OSS-Fuzz e Big Sleep, l’applicazione manuale delle patch alle vulnerabilità rimane un processo laborioso. CodeMender affronta questo problema in modo completo: non solo risponde ai nuovi problemi creando automaticamente patch, ma riscrive anche proattivamente frammenti di codice, eliminando intere classi di vulnerabilità.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Negli ultimi sei mesi, il team di DeepMind ha contribuito con 72 patch di sicurezza a progetti open source. Queste includono librerie per un totale di oltre 4,5 milioni di righe di codice. Tutte le modifiche vengono sottoposte a revisione per verificarne la correttezza e lo stile prima di essere sottoposte a revisione umana.
CodeMender sfrutta i modelli Gemini per analizzare la logica del programma, analizzare il comportamento del codice e verificare automaticamente i risultati. L’agente può anche verificare che la patch elimini la causa principale della vulnerabilità e non causi regressioni.
Per rendere il processo affidabile, DeepMind ha implementato nuovi metodi di analisi: analisi statica e dinamica, test differenziali, fuzzing e risolutori SMT. Inoltre, CodeMender si basa su un sistema multi-agente, con moduli individuali specializzati in diversi aspetti della revisione del codice, dal confronto delle modifiche all’autocorrezione degli errori.
In un esempio, CodeMender ha corretto un buffer overflow nel parser XML individuando un errore nella gestione dello stack degli elementi, anziché la posizione effettiva del crash. In un altro caso, l’agente ha proposto una correzione complessa relativa al ciclo di vita degli oggetti e alla generazione di codice C all’interno del progetto.
CodeMender è anche in grado di riscrivere il codice esistente utilizzando strutture dati e API più sicure. Ad esempio, l’agente ha aggiunto automaticamente annotazioni -fbounds-safety alla libreria libwebp per prevenire buffer overflow. Questa libreria era affetta in precedenza della vulnerabilità critica CVE-2023-4863, utilizzata nell’exploit di NSO Group per iPhone. I ricercatori stimano che con le nuove annotazioni, tali attacchi non saranno più possibili.
L’agente non si limita ad applicare le patch, ma le testa anche automaticamente, correggendo nuovi errori e verificandone la conformità funzionale con il codice sorgente. Se vengono rilevate incongruenze, il sistema utilizza un “giudice LLM” per correggere la patch senza intervento umano.
Per ora, DeepMind mantiene un atteggiamento cauto: tutte le modifiche sono soggette a revisione manuale obbligatoria. Tuttavia, CodeMender sta già contribuendo a migliorare la sicurezza di decine di progetti open source molto popolari. L’azienda intende ampliare il suo coinvolgimento con la community e rendere lo strumento disponibile a tutti gli sviluppatori in futuro.
Gli sviluppatori promettono di pubblicare report tecnici e articoli sugli approcci utilizzati in CodeMender nei prossimi mesi. Affermano che il progetto sta solo iniziando a sfruttare il potenziale dell’intelligenza artificiale nella sicurezza del software.
RedazioneIl mondo della tecnologia quantistica ha compiuto un balzo in avanti impressionante: QuantWare ha presentato il primo processore al mondo da 10.000 qubit, 100 volte più di qualsiasi dispositivo esist...
Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli agg...
A seguito della scoperta di exploit attivi, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito due vulnerabilità critiche al catalogo Known Exploited Vulnerabilities (KEV) dell’...
Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
