CyberThao
Writer
Google DeepMind vừa công bố CodeMender, một tác nhân trí tuệ nhân tạo (AI) mới có khả năng phát hiện, vá và viết lại mã nguồn dễ bị tấn công, giúp ngăn chặn các cuộc khai thác bảo mật trước khi chúng xảy ra. Đây được xem là bước tiến lớn trong việc tự động hóa an ninh phần mềm.
CodeMender được thiết kế để hoạt động theo cả hai hướng: phản ứng và chủ động. Khi phát hiện lỗ hổng mới, hệ thống sẽ tự động tạo và áp dụng bản vá, đồng thời phân tích, viết lại và củng cố mã hiện có nhằm loại bỏ toàn bộ các lớp lỗ hổng tiềm ẩn trong tương lai.
DeepMind cho biết, chỉ trong 6 tháng kể từ khi triển khai, CodeMender đã đóng góp 72 bản vá bảo mật cho các dự án mã nguồn mở, trong đó có những bản vá khổng lồ lên tới 4,5 triệu dòng mã.
Hai nhà nghiên cứu Raluca Ada Popa và Four Flynn của DeepMind chia sẻ:
“Bằng cách tự động tạo và áp dụng các bản vá bảo mật chất lượng cao, CodeMender giúp các nhà phát triển tập trung vào việc xây dựng phần mềm tốt hơn thay vì phải xử lý sự cố lỗ hổng thủ công.”
Công cụ AI bảo mật chủ động – kết hợp Gemini và LLM để vá lỗi thông minh
CodeMender sử dụng mô hình Gemini Deep Think của Google để thực hiện quá trình gỡ lỗi, xác định và sửa các lỗ hổng dựa trên nguyên nhân gốc rễ, đồng thời kiểm tra lại mã sau khi vá để đảm bảo không tạo ra lỗi mới (hồi quy).
Bên cạnh đó, hệ thống còn tích hợp công cụ đánh giá dựa trên mô hình ngôn ngữ lớn (LLM). Công cụ này giúp so sánh mã gốc và mã đã sửa, phát hiện sự khác biệt, đảm bảo rằng thay đổi không làm sai lệch chức năng của chương trình. Khi cần, AI có thể tự động sửa lại để tối ưu bản vá.
Google cho biết họ đang từng bước gửi các bản vá do CodeMender tạo ra tới cộng đồng nguồn mở, mời các nhà phát triển đánh giá và phản hồi để tiếp tục cải thiện công cụ này.
Cùng lúc đó, công ty cũng thiết lập Chương trình khen thưởng lỗ hổng AI (AI VRP) nhằm khuyến khích báo cáo các vấn đề bảo mật liên quan đến sản phẩm AI của Google – như tiêm mã độc, sai lệch mô hình, hay hành vi không mong muốn. Mức thưởng có thể lên tới 30.000 USD (khoảng 720 triệu VNĐ).
Trước đây, Google từng thành lập Đội AI Đỏ (AI Red Team) để kiểm thử và xử lý các rủi ro trong hệ thống AI theo Khung AI an toàn (SAIF). Hiện nay, họ đã công bố phiên bản thứ hai của khung này, tập trung vào rủi ro bảo mật của các tác nhân AI như rò rỉ dữ liệu và hành động ngoài kiểm soát.
Google nhấn mạnh, công ty cam kết sử dụng AI để tăng cường bảo mật và an toàn mạng, giúp các bên phòng thủ giành lợi thế trước tội phạm mạng, kẻ gian lận và các nhóm tấn công được nhà nước hậu thuẫn.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/googles-new-ai-doesnt-just-find.html
CodeMender được thiết kế để hoạt động theo cả hai hướng: phản ứng và chủ động. Khi phát hiện lỗ hổng mới, hệ thống sẽ tự động tạo và áp dụng bản vá, đồng thời phân tích, viết lại và củng cố mã hiện có nhằm loại bỏ toàn bộ các lớp lỗ hổng tiềm ẩn trong tương lai.
DeepMind cho biết, chỉ trong 6 tháng kể từ khi triển khai, CodeMender đã đóng góp 72 bản vá bảo mật cho các dự án mã nguồn mở, trong đó có những bản vá khổng lồ lên tới 4,5 triệu dòng mã.
Hai nhà nghiên cứu Raluca Ada Popa và Four Flynn của DeepMind chia sẻ:
“Bằng cách tự động tạo và áp dụng các bản vá bảo mật chất lượng cao, CodeMender giúp các nhà phát triển tập trung vào việc xây dựng phần mềm tốt hơn thay vì phải xử lý sự cố lỗ hổng thủ công.”
Công cụ AI bảo mật chủ động – kết hợp Gemini và LLM để vá lỗi thông minh
CodeMender sử dụng mô hình Gemini Deep Think của Google để thực hiện quá trình gỡ lỗi, xác định và sửa các lỗ hổng dựa trên nguyên nhân gốc rễ, đồng thời kiểm tra lại mã sau khi vá để đảm bảo không tạo ra lỗi mới (hồi quy).
Bên cạnh đó, hệ thống còn tích hợp công cụ đánh giá dựa trên mô hình ngôn ngữ lớn (LLM). Công cụ này giúp so sánh mã gốc và mã đã sửa, phát hiện sự khác biệt, đảm bảo rằng thay đổi không làm sai lệch chức năng của chương trình. Khi cần, AI có thể tự động sửa lại để tối ưu bản vá.
Google cho biết họ đang từng bước gửi các bản vá do CodeMender tạo ra tới cộng đồng nguồn mở, mời các nhà phát triển đánh giá và phản hồi để tiếp tục cải thiện công cụ này.
Cùng lúc đó, công ty cũng thiết lập Chương trình khen thưởng lỗ hổng AI (AI VRP) nhằm khuyến khích báo cáo các vấn đề bảo mật liên quan đến sản phẩm AI của Google – như tiêm mã độc, sai lệch mô hình, hay hành vi không mong muốn. Mức thưởng có thể lên tới 30.000 USD (khoảng 720 triệu VNĐ).
Trước đây, Google từng thành lập Đội AI Đỏ (AI Red Team) để kiểm thử và xử lý các rủi ro trong hệ thống AI theo Khung AI an toàn (SAIF). Hiện nay, họ đã công bố phiên bản thứ hai của khung này, tập trung vào rủi ro bảo mật của các tác nhân AI như rò rỉ dữ liệu và hành động ngoài kiểm soát.
Google nhấn mạnh, công ty cam kết sử dụng AI để tăng cường bảo mật và an toàn mạng, giúp các bên phòng thủ giành lợi thế trước tội phạm mạng, kẻ gian lận và các nhóm tấn công được nhà nước hậu thuẫn.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/googles-new-ai-doesnt-just-find.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
