La división DeepMind de Google anunció el lunes un agente de inteligencia artificial (IA) llamado Semi Eso detecta automáticamente, parche y reescribe código vulnerable para evitar futuras hazañas.
Los esfuerzos se suman a los esfuerzos continuos de la compañía para mejorar el descubrimiento de vulnerabilidades de IA, como el gran sueño y el fuzz OSS.
DeepMind dijo que el agente de IA está diseñado para ser reactivo y proactivo, al arreglar nuevas vulnerabilidades tan pronto como se ven, así como reescribir y asegurar las bases de código existentes con el objetivo de eliminar clases enteras de vulnerabilidades en el proceso.
«Al crear y aplicar automáticamente los parches de seguridad de alta calidad, el agente con IA de CodeMender ayuda a los desarrolladores y mantenedores a centrarse en lo que hacen mejor: construir un buen software», dijeron los investigadores de DeepMind Raluca Ada Popa y cuatro Flynn.
«En los últimos seis meses que hemos estado construyendo CodeMender, ya hemos subido 72 correcciones de seguridad para proyectos de código abierto, incluidos algunos de tan grandes como 4.5 millones de líneas de código».
CodeMender, bajo el capó, aprovecha los modelos Gemini Deep Deep de Google para depurar, marcar y arreglar vulnerabilidades de seguridad abordando la causa raíz del problema, y validarlos para asegurarse de que no activen ninguna regresión.
El agente de IA, agregó Google, también utiliza una herramienta de crítica basada en el modelo de idioma grande (LLM) que resalta las diferencias entre el código original y modificado para verificar que los cambios propuestos no introduzcan regresiones y se corrigan autocorregados.
Google dijo que también tiene la intención de comunicarse lentamente con los mantenedores interesados de proyectos críticos de código abierto con parches generados por CodeMender, y solicitar sus comentarios, para que la herramienta pueda usarse para mantener seguras las bases de código.
El desarrollo se produce cuando la compañía dijo que está instituyendo un Programa de Recompensa de Vulnerabilidad de AI (AI VRP) para informar los problemas relacionados con la IA en sus productos, como inyecciones rápidas, jailbreaks y desalineación, y obtenga recompensas que alcanzan hasta $ 30,000.
En junio de 2025, Anthrope reveló que los modelos de varios desarrolladores recurrieron a comportamientos internos maliciosos cuando esa era la única forma de evitar el reemplazo o alcanzar sus objetivos, y que los modelos de LLM «se portaban menos cuando declaraba que estaba en las pruebas y se portaba mal cuando la situación era real».
Dicho esto, la generación de contenido de violación de políticas, los derivaciones de la barandilla, las alucinaciones, las imprecisiones objetivas, la extracción inmediata del sistema y los problemas de propiedad intelectual no están bajo el ámbito del AI VRP.
Google, que previamente estableció un equipo de AI Red Dediced para abordar las amenazas a los sistemas de IA como parte de su marco seguro de IA (SAIF), también ha introducido una segunda iteración del marco para centrarse en los riesgos de seguridad de la agente como la divulgación de datos y las acciones no intencionadas, y los controles necesarios para mitigarlos.
La compañía señaló además que está comprometido a utilizar la IA para mejorar la seguridad y usar la tecnología para brindar a los defensores una ventaja y contrarrestar la creciente amenaza de los ciberdelincuentes, estafadores y atacantes respaldados por el estado.