รู้จัก CodeMender เอเจนต์ AI ด้านความปลอดภัยจาก Google ที่ใช้ Gemini ตรวจจับและแก้ช่องโหว่โค้ด

นอกจากการแก้บั๊กแบบเฉพาะจุด ระบบยังสามารถทำสิ่งที่เรียกว่า proactive hardening คือการปรับโครงสร้างโค้ดบางส่วนใหม่เพื่อกำจัดช่องโหว่ทั้ง “กลุ่มประเภทเดียวกัน” ไม่ใช่แค่บั๊กหนึ่งตัวเท่านั้น

ในช่วงทดลองภายในประมาณ 6 เดือน CodeMender สามารถสร้างและส่ง แพตช์ความปลอดภัย 72 รายการ ไปยังโปรเจกต์โอเพ่นซอร์ส ซึ่งบางโปรเจกต์มีโค้ดมากกว่า หลายล้านบรรทัด

การทดลองใช้งานกับองค์กร

Google ระบุในงาน I/O ว่ากำลังเปิดให้ นักพัฒนาและองค์กรบางรายทดลองใช้ CodeMender ผ่าน Agent Platform แล้ว

อย่างไรก็ตาม ข้อมูลสาธารณะเกี่ยวกับผลลัพธ์จริงในการใช้งานระดับองค์กรยังมีไม่มากนัก เพราะระบบยังอยู่ในช่วงเริ่มต้นของการนำไปใช้จริง

หลักฐานส่วนใหญ่ในตอนนี้มาจากการทดสอบภายในและการประกาศผลิตภัณฑ์ มากกว่าข้อมูลการใช้งานในระยะยาว

เป้าหมายสำคัญ: ปกป้องระบบโอเพ่นซอร์ส

หนึ่งในเป้าหมายสำคัญของ CodeMender คือการช่วยเพิ่มความปลอดภัยให้กับ ไลบรารีโอเพ่นซอร์สที่มีผู้ใช้จำนวนมาก

ซอฟต์แวร์โอเพ่นซอร์สจำนวนมากเป็นโครงสร้างพื้นฐานของอินเทอร์เน็ต แต่หลายโปรเจกต์มีทีมผู้ดูแลขนาดเล็ก ทำให้การตรวจสอบและแก้ช่องโหว่ทำได้ช้า

เครื่องมืออย่าง CodeMender สามารถช่วยค้นหาช่องโหว่และเสนอแพตช์ได้อัตโนมัติ ซึ่งอาจช่วยลดภาระของผู้ดูแลโปรเจกต์และเพิ่มความปลอดภัยให้กับซอฟต์แวร์ที่คนทั่วโลกใช้งาน

Google ยังมีบทบาทในความพยายามด้านความปลอดภัยโอเพ่นซอร์สของอุตสาหกรรม เช่น โครงการร่วมกับ Linux Foundation และ OpenSSF ที่ลงทุนหลายล้านดอลลาร์เพื่อยกระดับความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์ส

ศึกใหม่ของ AI ด้านไซเบอร์ซีเคียวริตี้

การเปิดตัว CodeMender เกิดขึ้นในช่วงที่บริษัท AI หลายแห่งกำลังแข่งขันกันสร้างระบบที่สามารถวิเคราะห์และปกป้องซอฟต์แวร์ได้ด้วย AI

ตัวอย่างที่ถูกพูดถึงมากคือ Claude Mythos Preview ของบริษัท Anthropic ซึ่งเป็นโมเดลที่ออกแบบมาเพื่อค้นหาช่องโหว่ในซอฟต์แวร์ แต่มีการจำกัดการเข้าถึงไว้กับองค์กรพันธมิตรบางราย เนื่องจากกังวลว่าความสามารถแบบเดียวกันอาจถูกนำไปใช้โจมตีระบบได้เช่นกัน

แนวทางของ Google แตกต่างเล็กน้อย

• Google เน้น ทำให้เป็นผลิตภัณฑ์จริงบนคลาวด์ สำหรับองค์กร
• CodeMender ถูกออกแบบให้ทำงานเป็น เอเจนต์ใน workflow การพัฒนา มากกว่าจะเป็นโมเดลเดี่ยว

ทั้งสองแนวทางสะท้อนแนวโน้มเดียวกัน: AI กำลังถูกพัฒนาให้สามารถวิเคราะห์โค้ดทั้งระบบ และช่วยนักพัฒนาปิดช่องโหว่ด้านความปลอดภัยได้ในระดับที่ใหญ่กว่าที่มนุษย์ทำคนเดียว

ทำไมเครื่องมือแบบนี้จึงสำคัญ

ในช่วงไม่กี่ปีที่ผ่านมา AI ช่วยให้การเขียนโค้ดเร็วขึ้นมาก แต่ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่า หากไม่มีเครื่องมือช่วยตรวจสอบ ช่องโหว่ก็อาจเพิ่มขึ้นตามจำนวนโค้ดที่ถูกสร้างขึ้น

เอเจนต์ AI อย่าง CodeMender มีเป้าหมายเพื่อลดช่องว่างนี้ โดยทำงานที่เคยต้องใช้ผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมาก เช่น

• วิเคราะห์โค้ดขนาดใหญ่
• ค้นหาจุดเสี่ยง
• สร้างแพตช์
• ตรวจสอบก่อนนำไปใช้

หากเทคโนโลยีนี้ทำงานได้ดีในระดับใหญ่จริง เวลาในการแก้ช่องโหว่ตั้งแต่ “พบปัญหา” จนถึง “ปล่อยแพตช์” อาจสั้นลงอย่างมาก

อย่างไรก็ตาม เทคโนโลยีนี้ยังอยู่ในช่วงเริ่มต้น และยังไม่มีข้อมูลเพียงพอที่จะสรุปได้ว่า CodeMender มีประสิทธิภาพเหนือคู่แข่งอย่าง Claude Mythos ในการค้นหาช่องโหว่หรือสร้างแพตช์หรือไม่

สิ่งที่ชัดเจนคือ อนาคตของ AI ในวงการซอฟต์แวร์ไม่ได้มีแค่การ เขียนโค้ด เท่านั้น แต่กำลังขยายไปสู่การ ค้นหา ตรวจสอบ และซ่อมแซมช่องโหว่ในโครงสร้างซอฟต์แวร์ทั่วโลก ด้วยเช่นกัน