Google compie un passo decisivo nel rafforzamento della sicurezza dell’intelligenza artificiale, introducendo Codemender, un agente AI capace di correggere autonomamente vulnerabilità nel codice, e lanciando un nuovo programma di bug bounty con ricompense fino a 27.500 euro per le falle individuate nei propri sistemi intelligenti. L’obiettivo è duplice: da un lato automatizzare la correzione dei bug con AI avanzata, dall’altro coinvolgere la comunità di ricercatori in una difesa collettiva delle piattaforme.
Cosa leggere
Codemender: l’agente AI che corregge vulnerabilità autonomamente
Il cuore di questa nuova strategia è Codemender, un agente autonomo basato sui modelli Gemini di Google, progettato per identificare e correggere vulnerabilità software in modo reattivo e proattivo. L’AI analizza grandi codebase – fino a 4,5 milioni di righe di codice – individuando la root cause dei problemi con un approccio che combina analisi statica, dinamica e fuzzing. Codemender genera patch automatiche senza introdurre regressioni, utilizzando tecniche di equivalenza funzionale e verifiche logiche basate su SMT solvers. Il sistema impiega multi-agent collaboration, dove più istanze AI si criticano a vicenda per affinare il risultato, garantendo un processo di debugging più robusto di quello umano.
L’agente è già stato in grado di upstreamare 72 patch in progetti open-source, applicando controlli -fbounds-safety per mitigare buffer overflow e prevenire exploit noti come la CVE-2023-4863. Inoltre, Codemender può riscrivere intere classi di codice insicuro, migliorando in modo strutturale la resilienza dei software. Il sistema integra anche moduli come Semantic Kernel e AutoGen, che orchestrano la collaborazione multi-agente e permettono di validare automaticamente le modifiche con metriche di accuratezza e performance. Con il tempo, Codemender evolverà in un tool pubblico per la community di sviluppatori e ricercatori, offrendo un livello di automazione mai visto nel patch management.
Bug bounty per vulnerabilità AI: ricompense record
Parallelamente, Google rinnova il suo programma di bug bounty dedicato all’AI, estendendolo ai prodotti basati su Gemini, come Gemini Apps, Workspace e AI Studio. Il nuovo schema prevede ricompense fino a 27.500 euro per vulnerabilità ad alto impatto e bonus di novità per report originali o di valore tecnico eccezionale. Tra le categorie di premi spiccano 18.350 euro per azioni non autorizzate (“rogue actions”), 13.760 euro per casi di data exfiltration, e 4.580 euro per phishing enablement. Nel 2024, Google ha già distribuito oltre 11 milioni di euro in ricompense a 660 ricercatori di sicurezza, con un premio massimo individuale di 101.000 euro. Il programma si basa su un’estensione del VRP Abuse (Vulnerability Reward Program), adattato al contesto dell’intelligenza artificiale. La nuova versione incorpora un framework aggiornato per la qualità dei report, che valuta l’impatto, la riproducibilità e la completezza tecnica delle segnalazioni. I ricercatori possono includere proof-of-concept e metadati diagnostici, migliorando la rapidità e l’efficacia della risposta di Google.
Framework di qualità aggiornato per i bug hunters
Il framework di valutazione aggiornato fornisce una struttura più rigorosa per i bug hunters, con linee guida dettagliate su scoring, impatto e validazione tecnica. Google ha introdotto categorie di severità più granulari, che premiano non solo le vulnerabilità critiche ma anche la novità delle scoperte e la chiarezza del report. Le submission più accurate ricevono pagamenti accelerati, e i ricercatori che rispettano gli standard di qualità ottengono credit pubblici anche per issue minori. Questa trasparenza incentiva la collaborazione continua, creando un ecosistema di ricerca e difesa in cui la scoperta delle vulnerabilità diventa parte integrante del ciclo di sicurezza. I report di alta qualità vengono valutati attraverso un processo peer-review interno, che riduce duplicazioni e migliora la priorità d’intervento. Il sistema, inoltre, si adatta dinamicamente alle nuove tipologie di minacce AI, garantendo che anche i rischi emergenti ricevano un’analisi tempestiva e remunerata.
Impatto sulle difese cyber e sull’ecosistema open-source
L’unione tra Codemender e il bug bounty AI crea un modello di sicurezza a due livelli: l’intelligenza artificiale che corregge, e l’intelligenza umana che supervisiona e scopre. Codemender riduce i tempi medi di fix, eliminando vulnerabilità prima che possano essere sfruttate, mentre il programma VRP amplifica la copertura globale grazie alla collaborazione con migliaia di ricercatori. Le due iniziative si completano: mentre Codemender agisce sui repository interni e open-source, il bug bounty incoraggia la community a individuare falle nei sistemi pubblici e nei modelli AI, creando una pipeline difensiva coordinata. Google evidenzia inoltre che Codemender è già impiegato per testare codice open-source critico, contribuendo alla stabilità di progetti comunitari fondamentali per l’infrastruttura digitale mondiale. Questo approccio rinforza il concetto di AI come alleato della sicurezza, non solo come rischio da mitigare.
Collaborazioni e sviluppo futuro
Google sta integrando Codemender con l’ecosistema di AI Studio e i moduli Extensions.AI, creando sinergie con piattaforme di terze parti per estendere la capacità di analisi multi-linguaggio e cross-sistema. L’azienda collabora con organizzazioni di ricerca indipendenti per standardizzare la sicurezza AI, in un’ottica di responsible innovation che coniuga automazione e trasparenza. Nel prossimo anno, Google prevede di estendere il programma VRP AI anche a modelli open-source, promuovendo una cultura di sicurezza condivisa. L’unione di AI autonoma, incentivi economici e collaborazione umana definisce una nuova fase nella difesa cibernetica: un’AI che non solo scrive e corregge codice, ma apprende dalla comunità e contribuisce attivamente a costruire un web più sicuro.
