Google CodeMender: Khi AI Gemini trở thành “kỹ sư bảo mật” tự động

CodeMender tìm và sửa lỗ hổng như thế nào

CodeMender được xây dựng trên mô hình Gemini Deep Think kết hợp với quy trình agent có tích hợp nhiều công cụ phân tích. Nhờ đó, hệ thống có thể đọc mã nguồn, tìm ra lỗ hổng và đề xuất cách sửa một cách tự động.

Quy trình thông thường của CodeMender gồm:

• Quét toàn bộ codebase để phát hiện lỗ hổng tiềm ẩn
• Xác định nguyên nhân gốc của lỗi
• Tạo các bản vá đề xuất
• Kiểm chứng bản vá bằng phân tích hoặc test tự động
• Gửi bản sửa cho lập trình viên đánh giá trước khi triển khai

Ngoài việc sửa từng lỗi riêng lẻ, hệ thống còn có khả năng "hardening" chủ động — tức là viết lại những phần code liên quan để loại bỏ cả một nhóm lỗ hổng có thể xảy ra, thay vì chỉ vá một bug cụ thể.

Trong một thử nghiệm nội bộ kéo dài 6 tháng, CodeMender đã tự động tạo và gửi 72 bản vá bảo mật cho các dự án mã nguồn mở, bao gồm cả những kho mã có hàng triệu dòng code.

Bắt đầu thử nghiệm với doanh nghiệp

Tại I/O 2026, Google cho biết họ đang mở rộng việc thử nghiệm CodeMender ra ngoài nội bộ. Công cụ này sẽ được cung cấp cho một số nhà phát triển và khách hàng doanh nghiệp thông qua Agent Platform.

Tuy vậy, hiện vẫn chưa có nhiều dữ liệu công khai về hiệu quả thực tế của CodeMender trong môi trường sản xuất hoặc danh sách các công ty đang thử nghiệm. Phần lớn thông tin hiện nay vẫn dựa trên các triển khai nghiên cứu và thông báo sản phẩm ban đầu.

Mục tiêu lớn: bảo vệ hệ sinh thái mã nguồn mở

Một trong những mục tiêu chiến lược của CodeMender là tăng cường bảo mật cho các thư viện mã nguồn mở phổ biến.

Nhiều thư viện nguồn mở được sử dụng trong hàng nghìn ứng dụng nhưng lại do các nhóm nhỏ duy trì. Khi lỗ hổng xuất hiện, họ thường thiếu nguồn lực để phát hiện và sửa nhanh chóng.

Nếu CodeMender có thể tự động tìm lỗ hổng và đề xuất bản vá, các maintainer có thể xử lý vấn đề nhanh hơn và giảm nguy cơ tấn công trên diện rộng.

Google cũng cho biết các công cụ AI như CodeMender sẽ hỗ trợ những sáng kiến tăng cường bảo mật mã nguồn mở trong ngành, bao gồm các chương trình do Linux Foundation và cộng đồng bảo mật tài trợ.

Cuộc đua AI trong lĩnh vực an ninh mạng

CodeMender xuất hiện trong bối cảnh nhiều phòng thí nghiệm AI đang cạnh tranh xây dựng hệ thống có thể phân tích và bảo vệ phần mềm ở quy mô lớn.

Một ví dụ đáng chú ý là Claude Mythos Preview của Anthropic — mô hình AI mạnh mẽ được thiết kế để phát hiện lỗ hổng phần mềm và hỗ trợ các nhiệm vụ an ninh mạng. Tuy nhiên, quyền truy cập vào Mythos hiện bị hạn chế cho một nhóm nhỏ đối tác do lo ngại về nguy cơ bị lạm dụng.

Chiến lược của Google khác ở hai điểm chính:

• Thương mại hóa nhanh: CodeMender được triển khai như một dịch vụ đám mây trong hệ sinh thái Google Cloud.
• Tích hợp vào quy trình phát triển: thay vì chỉ là một mô hình AI độc lập, CodeMender hoạt động như một tác nhân bảo mật gắn trực tiếp vào pipeline phát triển phần mềm.

Cả hai cách tiếp cận đều cho thấy xu hướng mới của ngành: AI không chỉ viết code nữa, mà còn tự phân tích, kiểm chứng và sửa lỗi bảo mật trên toàn bộ hệ thống phần mềm.

Vì sao công cụ bảo mật dùng AI trở nên quan trọng

Sự bùng nổ của các công cụ tạo code bằng AI đang khiến lượng phần mềm được sản xuất tăng nhanh. Nhưng điều này cũng đồng nghĩa với khả năng số lượng lỗ hổng bảo mật tăng theo nếu các công cụ kiểm tra và sửa lỗi không phát triển tương ứng.

Các tác nhân AI như CodeMender được thiết kế để thu hẹp khoảng cách đó bằng cách tự động hóa những công việc vốn phải làm thủ công, như phân tích code, xác minh lỗ hổng và tạo bản vá.

Nếu hoạt động hiệu quả ở quy mô lớn, các hệ thống này có thể rút ngắn đáng kể khoảng thời gian từ khi phát hiện lỗ hổng đến khi bản vá được phát hành.

Dù vậy, công nghệ vẫn còn ở giai đoạn đầu. Hiện chưa có đủ dữ liệu công khai để khẳng định CodeMender vượt trội hơn các hệ thống khác như Claude Mythos trong việc phát hiện lỗ hổng hoặc chất lượng bản vá.

Điều chắc chắn là giai đoạn tiếp theo của AI trong ngành phần mềm sẽ không chỉ là viết code, mà còn là tìm, xác minh và sửa các lỗi bảo mật trên hạ tầng phần mềm của cả thế giới.