CodeMender: el agente de seguridad con IA de Google que busca y corrige vulnerabilidades automáticamente

Cómo detecta y corrige vulnerabilidades

CodeMender utiliza modelos Gemini Deep Think combinados con flujos de trabajo de agentes que emplean herramientas externas para analizar código y encontrar problemas de seguridad.

El proceso automatizado suele incluir varias etapas:

• Escaneo de una base de código para identificar vulnerabilidades potenciales
• Análisis de la causa raíz del fallo
• Generación de posibles parches
• Validación automática mediante pruebas o análisis estático
• Envío del parche para revisión humana antes de su implementación

Además, el sistema puede aplicar “endurecimiento proactivo” del código. Esto significa que, en lugar de corregir un único error, puede reescribir partes relacionadas del programa para eliminar toda una categoría de vulnerabilidades.

Durante pruebas internas de seis meses, CodeMender demostró su capacidad para contribuir de forma autónoma: el sistema generó y envió 72 parches de seguridad a proyectos open source, algunos con repositorios que superan los millones de líneas de código.

Primeras pruebas con empresas y desarrolladores

En I/O 2026, Google anunció que comenzará a ampliar el acceso a CodeMender más allá de los entornos de investigación. La compañía planea ofrecerlo a desarrolladores a través de la Agent Platform y abrirlo a probadores seleccionados y clientes empresariales.

Por ahora, la información pública sobre qué empresas lo están probando o su rendimiento en producción es limitada. La mayor parte de los datos disponibles provienen de pruebas iniciales y anuncios del producto, no de despliegues a gran escala.

Un objetivo clave: proteger el software open source

Uno de los objetivos estratégicos de CodeMender es mejorar la seguridad de bibliotecas y dependencias open source ampliamente utilizadas.

Muchas de estas piezas de software son mantenidas por equipos pequeños que no siempre pueden analizar y corregir vulnerabilidades con la rapidez necesaria. Un agente de IA capaz de identificar fallos y proponer parches podría ayudar a los mantenedores a reducir el tiempo de respuesta frente a problemas de seguridad.

Google también ha señalado que herramientas como CodeMender formarán parte de iniciativas más amplias para reforzar la seguridad del ecosistema open source, incluidas colaboraciones con programas de seguridad de la Linux Foundation.

La carrera por la ciberseguridad impulsada por IA

El lanzamiento de CodeMender llega en medio de una intensa competencia entre laboratorios de IA para desarrollar sistemas capaces de analizar y proteger software de forma automática.

Uno de los proyectos más comentados es Claude Mythos Preview de Anthropic, un modelo avanzado orientado al análisis de vulnerabilidades y tareas de seguridad defensiva. Sin embargo, su acceso está limitado a un pequeño grupo de organizaciones debido a preocupaciones sobre posibles usos indebidos.

La estrategia de Google se diferencia en dos aspectos principales:

• Producto integrado: CodeMender se ofrece como servicio dentro de Google Cloud y del ecosistema de desarrollo empresarial.
• Agente operativo: en lugar de presentarlo como un modelo independiente, Google lo posiciona como un agente que trabaja directamente dentro de los pipelines de desarrollo.

Ambos enfoques reflejan un cambio importante: los sistemas de IA empiezan a ser capaces de analizar repositorios completos y ayudar a reparar vulnerabilidades a gran escala.

Por qué este tipo de herramientas puede cambiar la seguridad del software

La cantidad de código que se produce con ayuda de IA está creciendo rápidamente. Algunos investigadores en seguridad advierten que esto también puede aumentar el número potencial de vulnerabilidades si las herramientas de auditoría no evolucionan al mismo ritmo.

Agentes como CodeMender buscan cerrar esa brecha automatizando tareas que tradicionalmente requerían revisiones manuales. Si funcionan bien a gran escala, podrían reducir significativamente el tiempo entre descubrir una vulnerabilidad y lanzar un parche.

Aun así, la tecnología está en una fase temprana. Todavía no hay suficiente evidencia pública para determinar si CodeMender supera a sistemas rivales —como Claude Mythos— en descubrimiento de vulnerabilidades o calidad de parches.

Lo que sí parece claro es que la próxima etapa de la inteligencia artificial no solo consistirá en escribir software, sino también en encontrar, verificar y reparar fallos de seguridad en la infraestructura digital del mundo.