Google DeepMind a présenté cette semaine CodeMender, un agent d’intelligence artificielle conçu pour détecter et corriger automatiquement les failles de sécurité dans les projets open source. Ironie du sort : l’outil lui-même n’est pas open source. Basé sur le modèle Gemini Deep Think, CodeMender génère des correctifs, les valide grâce à une série d’analyses statiques et dynamiques, puis les soumet à des mainteneurs humains pour approbation.
Depuis six mois, 72 patches ont déjà été intégrés à des projets libres, y compris des bibliothèques de plusieurs millions de lignes de code. L’approche combine débogage automatisé, test différentiel, fuzzing et vérification fonctionnelle pour s’assurer que les correctifs n’introduisent pas de régressions. CodeMender peut également réécrire du code existant pour renforcer sa sécurité, comme dans le cas de libwebp, où il a appliqué des annotations empêchant certaines attaques par débordement de mémoire — un type de faille exploité dans le passé pour des attaques zero-click.
Contrairement à des outils comme OSS-Fuzz ou CodeQL, CodeMender n’est pas accessible au public. Son code, son modèle et son fonctionnement détaillé restent confinés dans les laboratoires de Google, confirme The Register. En l’état, il incarne donc une tension classique du secteur : l’open source bénéficie des contributions de l’IA, sans avoir accès à l’IA elle-même. À terme, cette situation pourrait bien poser un paradoxe : si les failles du code libre ne peuvent être corrigées qu’à l’aide d’outils fermés, alors une partie de la sécurité open source finirait… par dépendre du propriétaire.
