维度网讯，谷歌于5月19日在Google I/O 2026开发者大会上宣布，正式将旗下代码安全AI代理CodeMender以API形式向部分受邀安全专家和合作伙伴开放，这是这款安全工具从内部使用走向外部生态的关键一步。谷歌DeepMind首席技术官Koray Kavukcuoglu在大会上将CodeMender定位为一款可以“帮助保护全球代码库安全”的AI代理，既能发现漏洞，也能给出修复方案。

CodeMender基于谷歌Gemini Deep Think推理模型构建，并非简单地扫描漏洞并告警，而是形成了从检测、修复到验证的自动化闭环。系统利用静态分析、动态分析、模糊测试和SMT求解器等多种程序分析工具对代码库进行扫描，识别潜在安全缺陷，生成精确的补丁方案，然后自动验证这些修改是否真正修复了问题、是否遵循代码风格规范、是否会引入新的回归错误。只有在完成多维度验证之后，补丁才会被提交给人类开发者进行审查。

自启动至今，CodeMender已向开源项目上游提交了72个安全修复补丁，其中部分代码库规模高达450万行。以libwebp图像压缩库为例，CodeMender对代码中的关键部分进行了加固，增加了编译器边界检查标志，DeepMind工程师在技术博客中指出，如果这一编译器标志在2023年libwebp的零日漏洞CVE-2023-4863被发现之前就已存在，攻击者将无法利用该漏洞实施入侵。这一案例表明CodeMender不仅在修复已知漏洞，更在主动重写代码以消除整类漏洞。

CodeMender此次API化的行业背景值得关注。今年4月，Anthropic旗下Claude Mythos Preview在AI安全领域展现了强大的漏洞发现能力。在已获授权测试的合作中，Mozilla Firefox安全团队使用Mythos在一个月内修复了423个安全漏洞，同比增长13倍，其中271个由Mythos直接发现，180个被评定为高严重性。Mythos还挖出了潜伏长达15年至20年的陈年漏洞，并多次发现沙箱逃逸级别的高危漏洞。

谷歌首席执行官桑达尔·皮查伊在本周一的新闻发布会上对Mythos给出了公开评价：“Mythos的成就——在此要给予他们肯定——在于证明了最大规模的模型在这类安全用例中确实存在价值。”Kavukcuoglu在接受采访时进一步确认，谷歌已与多国政府和企业就使用CodeMender审计系统展开洽谈。

CodeMender选择以开放API的方式推进。多名Gemini Enterprise客户正在测试CodeMender，谷歌尚未公布全面开放的正式时间表。与此同时，OpenAI也推出了自家的安全AI产品，AI代码安全领域正在形成多元化的技术供给格局。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com