Google เปิดตัว “CodeMender” — เอเจนต์ AI ช่วยแก้ช่องโหว่ซอฟท์แวร์แบบอัตโนมัติ

ในยุคที่มีการรายงานช่องโหว่ในซอฟท์แวร์ต่างๆ ให้เห็นอยู่ทุกวัน ความสามารถในการตรวจจับและแก้ไขช่องโหว่ของซอฟท์แวร์อย่างรวดเร็วเป็นสิ่งจำเป็นอย่างยิ่ง ล่าสุด Google DeepMind ได้เปิดตัว “CodeMender” เอเจนต์ปัญญาประดิษฐ์รุ่นใหม่ที่ถูกออกแบบมาเพื่อสแกน วิเคราะห์ และซ่อมแซมโค้ดที่มีช่องโหว่โดยอัตโนมัติ ซึ่งถือเป็นอีกก้าวสำคัญของเทคโนโลยี AI ในโลกความปลอดภัยไซเบอร์

ที่มา

CodeMender ถูกสร้างขึ้นเพื่อทำหน้าที่ทั้ง “ป้องกันก่อนเกิดเหตุ” และ “แก้ไขเมื่อพบปัญหา” ได้พร้อมกัน กล่าวคือ ระบบสามารถทำงานในเชิงรุกด้วยการวิเคราะห์จุดเสี่ยงของโค้ด และเขียนโค้ดใหม่ในจุดที่อาจเกิดช่องโหว่ เพื่อป้องกันไม่ให้เกิดปัญหาขึ้นในอนาคต

ขณะเดียวกัน หากตรวจพบช่องโหว่จริง ระบบก็สามารถสร้างแพตช์เพื่อแก้ไขได้ทันทีโดยอัตโนมัติ ซึ่งในช่วงหกเดือนที่ผ่านมา CodeMender ได้ถูกทดสอบกับโครงการโอเพนซอร์สกว่า 70 โปรเจกต์ และส่งแพตช์แก้ไขมากกว่า 70 ครั้ง ครอบคลุมโค้ดหลายล้านบรรทัด แสดงให้เห็นถึงศักยภาพที่สามารถนำมาใช้ได้จริงในโลกการพัฒนา

AI เบื้องหลัง

เบื้องหลังของ CodeMender คือโมเดลปัญญาประดิษฐ์ Gemini Deep Think ที่ช่วยให้ระบบเข้าใจโครงสร้างและตรรกะของโค้ดได้โดยไม่ต้องรันจริง สามารถวิเคราะห์หาสาเหตุของช่องโหว่ และสร้างแนวทางแก้ไขที่มีเหตุผลรองรับอย่างเป็นระบบ จากนั้นจะผ่านกระบวนการตรวจสอบซ้ำหลายชั้น เพื่อให้มั่นใจว่าแพตช์ที่สร้างขึ้นไม่มีผลกระทบกับการทำงานของซอฟต์แวร์เดิม

นอกจากนี้ CodeMender ยังมีสถาปัตยกรรมแบบหลายเอเจนต์ (multi-agent architecture) ซึ่งแต่ละโมดูลจะมีหน้าที่เฉพาะ เช่น โมดูล “Critique Agent” ที่ทำหน้าที่เปรียบเทียบความแตกต่างระหว่างโค้ดต้นฉบับกับโค้ดที่ถูกแก้ไข และช่วยตรวจจับข้อผิดพลาดที่อาจเกิดขึ้นจากการเปลี่ยนแปลงนั้น เพื่อให้ผลลัพธ์สุดท้ายมีความถูกต้องและปลอดภัยสูงสุด

ยังต้องมีมนุษย์มาเกี่ยวข้อง

แม้ CodeMender จะมีความสามารถขั้นสูง แต่ Google ยืนยันว่า ระบบนี้จะไม่ทำงานแบบอัตโนมัติเต็มรูปแบบโดยไม่มีมนุษย์เข้ามาเกี่ยวข้อง ทุกแพตช์ที่ CodeMender สร้างขึ้นจะต้องผ่านการตรวจสอบและยืนยันโดยผู้เชี่ยวชาญด้านความปลอดภัยก่อนส่งขึ้นไปยังโปรเจกต์จริงในระบบโอเพนซอร์ส เพื่อให้มั่นใจว่าการแก้ไขนั้นปลอดภัยและเป็นไปตามมาตรฐานของแต่ละโครงการ

หนึ่งในตัวอย่างที่แสดงถึงประสิทธิภาพของ CodeMender คือการช่วยแก้ไขช่องโหว่รหัส CVE-2023-4863 ในไลบรารี libwebp ซึ่งเคยเป็นช่องทางให้เกิดการโจมตีแบบ buffer overflow

โดย CodeMender ได้ช่วยสร้างแพตช์ที่เพิ่มคำสั่ง -fbounds-safety เพื่อป้องกันความผิดพลาดดังกล่าว ซึ่งถือเป็นตัวอย่างของการประยุกต์ใช้ AI เพื่อเสริมความปลอดภัยให้กับซอฟต์แวร์ในระดับโครงสร้าง

Google ระบุว่า CodeMender จะไม่หยุดอยู่แค่ในขั้นทดลอง แต่เตรียมขยายความร่วมมือกับผู้ดูแลโครงการโอเพนซอร์สสำคัญทั่วโลก เพื่อส่งแพตช์จากระบบ AI นี้เข้าไปทดสอบจริงในสภาพแวดล้อมของแต่ละโครงการ พร้อมรับฟังข้อเสนอแนะจากชุมชนนักพัฒนาเพื่อพัฒนาให้แม่นยำและปลอดภัยยิ่งขึ้น

ที่มา