GitHub推出AI代码自动修复功能，革新安全漏洞诊断｜TodayAI

今日，Sentry首先宣布了其生产代码调试的AI自动修复功能，不久后，GitHub紧随其后发布了其首个针对代码安全漏洞查找和修复的自动扫描测试版。这一新功能将GitHub的实时Copilot能力与其语义代码分析工具CodeQL相结合。该技术早在去年11月便有所展示。

GitHub表示，该系统能够自动修正其发现的超过三分之二的安全漏洞，且大多数情况下不需开发者手动干预。此外，公司还称，该自动修复功能将支持其支持的语言中超过90%的警报类型，目前包括JavaScript、Typescript、Java和Python。

所有GitHub高级安全服务（GHAS）的用户现已可以使用这项新功能。

这项功能背后的是GitHub的CodeQL引擎，它利用语义分析在代码执行前识别出潜在的漏洞。CodeQL最初是由Semmle —— 一家后来被GitHub收购的代码分析初创公司开发的，并且自2019年底以来一直向公众开放，但仅限于研究人员和开源开发者使用。

CodeQL现在成为了这一新工具的核心。不过，GitHub指出，该工具还结合了启发式算法和GitHub Copilot的API来提出修复建议。GitHub使用了OpenAI的GPT-4模型来生成修复方案及其解释。虽然GitHub非常有信心，认为大多数自动修复建议将是正确的，但也承认“少数建议的修复可能会对代码库或漏洞产生严重的误解”。