投稿者: Google は 2025 年 10 月 6 日、ソフトウェアの脆弱性を自動で発見・修正する AI エージェント「 CodeMender 」を発表しました。この新しいツールは Gemini Deep Think モデルを活用し、コードを自動的に解析してセキュリティホールを発見するだけでなく、パッチの生成と適用までを自動で行います。
CodeMender の大きな特徴は、目の前のバグを修正するだけでなく、脆弱性が発生する構造そのものを書き換えることで、類似の問題を根本から防ぐアプローチを取っている点です。静的・動的解析、ファジング、差分テスト、 SMT ソルバーなどの高度なプログラム解析技術を駆使し、 Gemini Deep Think の強力なコードリーディング・推論能力によって根本原因を特定します。生成されたパッチは自動バリデーション(回帰テストや機能確認)を経て、最終的には人間のレビュアーによるレビューを受けてから取り込まれる仕組みです。
すでに実績も出ており、過去 6 か月でオープンソースプロジェクトに 72 件ものセキュリティ修正を提供しています。 450 万行を超える大規模なコードベースにも対応可能で、過去には libwebp のバッファオーバーフロー系脆弱性を検知・修正し、より堅牢なコンパイラフラグを導入した事例もあります。
現時点では広範な一般公開や API 提供はされていませんが、まずはオープンソースコミュニティのフィードバックを取り入れながら機能改善を続けていく方針とのこと。 CodeMender 登場の背景には、 AI による脆弱性発見が急速に進む中で、人間の手だけではパッチ適用が追いつかなくなるという危機感があります。
Google は信頼性を最優先に慎重な展開を進めており、将来的には開発者向けツールとして公開予定です。技術論文も近日発表される見込みで、 AI によるソフトウェアセキュリティ自動化の事例として業界から注目を集めています。