Google DeepMind、脆弱性の根本原因を特定、修正するAIエージェント「CodeMender」を開発：72のオープンソースプロジェクトで成果

Google DeepMindは、ソフトウェアの脆弱性の根本原因を特定し、コードを修正するAIエージェント「CodeMender」を公式ブログで紹介した。全てのソフトウェア開発者がコードベースをセキュアに保つために使用できるツールとして公開を目指すという。

[＠IT]

　Google DeepMindは2025年10月7日（米国時間）、ソフトウェアの脆弱（ぜいじゃく）性の根本原因を特定、修正するAI（人工知能）エージェント「CodeMender」について、公式ブログで紹介した。

　ソフトウェアの脆弱性の発見と修正は、ファジングツールを用いても開発者にとっては非常に困難で時間がかかる作業だ。こうした背景の下、GoogleはAIベースの取り組みとして「OSS-Fuzz」や「Big Sleep」を開発し、十分にテストされたソフトウェアにおいても、AIが新たなゼロデイ脆弱性を発見できることを実証してきた（OSS-Fuzzの参考記事、Big Sleepの参考記事）。

　だが、AIがゼロデイ脆弱性を発見する頻度が高まれば、人間の専門家だけで脆弱性に対応することはより困難となる。

　Google DeepMindはこの問題を包括的に解決する取り組みとして、CodeMenderを開発した。開発を開始してから6カ月間で、72件のオープンソースプロジェクトでのセキュリティ修正に貢献したという。

Geminiの推論機能を活用　作成したパッチに問題があれば、AIが自己修正

　CodeMenderは、GoogleのLLM（大規模言語モデル）であるGeminiに搭載された高度な推論機能「Deep Think」を活用し、複雑な脆弱性の根本原因の特定、デバッグ、修正に取り組むことができる。

　CodeMenderには、変更を加える前にコードについて推論し、変更の正確性やリグレッション（先祖返り）が起きないことを自動的に検証する仕組みとして、下記のような手法やシステムが取り入れられているという。

• 高度なプログラム解析：静的解析、動的解析、差分テスト、ファジング、SMTソルバーを含む高度なプログラム解析ツールを用いて、コードパターン、制御フロー、データフローを精査し、セキュリティの問題やアーキテクチャの弱点をより正確に特定する
• マルチエージェントシステム：LLMベースの批評ツールを用いて、CodeMenderが提案する変更点の正確性を検証し、必要に応じて自己修正する

　自動検証プロセスを通じて、問題の根本原因を修正していること、正確な変更が行われていること、リグレッションを引き起こさないこと、スタイルガイドに準拠していることを保証し、修正が必要であればCodeMenderはフィードバックに応じてパッチを自己修正する。この仕組みにより、高品質なパッチのみを提供できるという。

CodeMenderがリポジトリに存在する脆弱性を修正するフローのイメージ（提供：Google DeepMind）

　またCodeMenderは、より安全なデータ構造やAPIを使用するよう、既存のコードをプロアクティブに書き換えるよう設計されている。

　画像圧縮ライブラリ「libwebp」にCodeMenderを適用した事例では、コンパイラの-fbounds-safetyアノテーションを一部の箇所に付与したことで、将来発見される可能性のあるほとんどのバッファーオーバーフロー脆弱性の影響を未然に防ぐことに成功したという。

　Google DeepMindは「CodeMenderが生成したパッチをより多くのオープンソースプロジェクトのメンテナーに提供する計画だ。フィードバックプロセスを繰り返すことで、全てのソフトウェア開発者がコードベースをセキュアに保つために使用できるツールとして公開することを目指している」と、述べている。

---

　アプリケーションやサービスのコードに潜む脆弱性がひとたび悪用されると、ビジネス停止、企業の信頼失墜といったリスクに直結する今、開発段階からセキュリティに取り組む重要性は高まり続けている。だが、開発者やセキュリティ担当者にとって、脆弱性の発見や修正は容易ではない。

　CodeMenderの取り組みは、脆弱性の「発見」「原因特定」「修正」「検証」までを自動化するという点で、開発だけではなく保守の観点でもAIエージェントが生かせることを示す事例の一つといえるだろう。