谷歌推出CodeMender，AI直接修复代码漏洞

在最近的Google I/O开发者大会上，谷歌正式开放了名为CodeMender的AI工具的API测试权限，邀请一批网络安全专家和开源项目维护者率先试用。这款工具由谷歌DeepMind团队开发，去年十月首次披露后一直保持低调，如今终于迈出关键一步——从实验室走向真实世界。

CodeMender不是简单的漏洞扫描器。它能读懂成千上万行代码，识别出像SQL注入、缓冲区溢出、不安全的API调用等常见安全隐患，并直接生成修复补丁。开发者只需点击确认，AI就能自动提交修改、运行测试、甚至生成提交说明。这在开源社区中尤其珍贵——许多小型项目没有专职安全团队，一个被忽视的漏洞可能持续数年。

据参与内测的开发者反馈，CodeMender在处理Python和JavaScript项目时表现突出，尤其擅长修复依赖库中的已知漏洞（如CVE列表中的高危项）。有开发者在GitHub上分享，它曾在一个开源支付库中发现了一个隐藏了18个月的路径遍历漏洞，并在30秒内给出修复方案，比人工审查快了近十倍。

不只是对抗竞争对手，更是回应现实需求

虽然外界常将CodeMender与Anthropic的Mythos模型作比较，但谷歌的动机更务实。过去一年，全球软件供应链攻击事件激增：从SolarWinds到Log4j，企业损失动辄数亿美元。美国国家标准与技术研究院（NIST）2024年报告指出，超过67%的严重安全事件源于第三方代码漏洞，而其中近半数因无人维护而长期未修复。

谷歌并非第一个想到用AI做代码修复的公司，但它是第一个把修复能力集成到开发者工作流中的。CodeMender不追求“炫技”，而是专注解决一个真实痛点：开发者没时间、没精力、也没专业知识去应对所有安全告警。它要做的，是让安全修复像拼图一样简单——找到缺口，自动填上。

AI安全，正在成为科技公司的新战场

网络安全早已不是IT部门的“成本中心”，而是关乎企业存亡的“收入保护层”。2024年，全球企业对安全AI工具的采购预算同比增长了89%（来源：Gartner）。微软的GitHub Copilot已加入安全建议功能，Amazon Bedrock也上线了代码审计插件。而谷歌的策略更进一步——它不只提供“建议”，而是直接“动手”。

此次I/O大会，谷歌还同步推出了Android版AI Studio，允许开发者在手机上实时审查代码、运行AI辅助调试。这表明，谷歌正试图把AI安全能力从云端延伸到开发者日常使用的每一个环节。

对于普通开发者而言，CodeMender的意义不在于它有多“智能”，而在于它让安全不再是一种负担。当一个开源维护者凌晨三点收到告警邮件，他不再需要查文档、翻RFC、写测试用例——AI已经替他把补丁写好了。

这场竞赛的终点，不是谁的模型参数更大，而是谁能让代码更安全，让开发者更轻松。