Google intègre CodeMender dans un écosystème d’agents dans le cadre de la promotion d’AppSec basé sur l’IA

Google étend le rôle de son agent de sécurité CodeMender de la correction autonome des vulnérabilités à un écosystème de développement agent plus vaste, signalant une poussée plus large vers une AppSec basée sur l’IA.

Quelques mois après avoir introduit CodeMender, un agent basé sur l’IA conçu pour identifier et corriger de manière autonome les vulnérabilités logicielles, Google intègre désormais la technologie dans sa stratégie en expansion de plateforme d’agent dévoilée lors de Google I/O 2026.

Ce changement suggère que CodeMender n’est peut-être plus simplement un outil de remédiation autonome. Au lieu de cela, il semble être positionné dans le cadre d’un écosystème plus large d’agents d’IA d’entreprise capables de naviguer dans les flux de développement, de sécurité, de validation et d’exploitation de logiciels avec une intervention humaine limitée.

« L’intégration de CodeMender dans Agent Platform avec des composants d’identité, de passerelle et d’observabilité tous inclus m’amène à croire que Google pense que l’entreprise ne fait pas ou ne fera pas confiance à la remédiation autonome en tant que solution ponctuelle, mais plutôt comme faisant partie de son infrastructure gouvernée », a déclaré Chris Steffen, vice-président de la recherche chez Enterprise Management Associates. « Il ne s’agit donc pas simplement d’une mise à jour de produit ; il s’agit très probablement d’un pivot stratégique. »

Lancé en tant qu’agent autonome de correction des vulnérabilités

Lorsque Google DeepMind a dévoilé CodeMender en octobre 2025, la société l’a présenté comme un système de remédiation de sécurité autonome capable de déboguer et de corriger les vulnérabilités dans d’énormes bases de code open source.

Selon Google, l’agent avait déjà généré et soumis des dizaines de correctifs de sécurité sur plusieurs projets. « Au cours des six derniers mois où nous avons construit CodeMender, nous avons déjà mis en place 72 correctifs de sécurité pour des projets open source, dont certains pouvant atteindre 4,5 millions de lignes de code », avait déclaré la société lors du lancement.

L’agent aurait utilisé des modèles de raisonnement Gemini pour analyser les vulnérabilités, générer des correctifs, valider les correctifs et tester si les mesures correctives proposées introduisaient des régressions avant de les présenter aux développeurs.

À l’époque, Google présentait cette technologie principalement comme une réponse au fardeau croissant de la gestion des vulnérabilités logicielles. « Les vulnérabilités logicielles sont notoirement difficiles et longues à trouver et à corriger pour les développeurs », avait-il déclaré.

Cependant, Google n’a rien révélé sur les performances de CodeMender depuis son lancement. « Il est encore tôt et je suis sûr qu’ils publieront des données sur les performances à un moment donné », a réfléchi Steffen. « Dans l’état actuel des choses, il n’existe aucune donnée publiée sur les taux de faux positifs, les taux de régression ou la précision des corrections sur les bases de code propriétaires. »

Mais Steffen pense que les données seront bientôt disponibles car les entreprises demanderont ces mesures avant d’envisager sérieusement leur adoption.

Désormais intégré à la stratégie plus large de la plateforme d’agents

Avant de présenter un bulletin de notes, Google a commencé à esquisser le plus grand plan. Ses dernières annonces sur la plateforme d’agent lors de l’I/O 2026 indiquent que la société envisage peut-être désormais CodeMender en termes opérationnels beaucoup plus larges.

Google a annoncé l’intégration de CodeMender dans Agent Platform, ajoutant que les fonctionnalités intégrées seront « bientôt disponibles » pour ses entreprises clientes. « En tirant parti des capacités de la plateforme d’agent et des modèles Gemini avancés, CodeMender identifie de manière autonome les vulnérabilités dans votre code », a ajouté la société.

L’Agent Platform, également appelée Gemini Enterprise Agent Platform, est essentiellement la pile d’infrastructure de Google pour créer, déployer, orchestrer, gouverner et gérer des agents d’IA autonomes dans les flux de travail d’entreprise.

Répondant à la question de savoir si l’intégration signale un changement vers des pipelines de sécurité logicielle natifs de l’IA, Steffen a déclaré : « Absolument – et c’est structurel, pas cosmétique. Il ne fait absolument aucun doute que l’IA peut désormais découvrir les vulnérabilités plus rapidement que les humains ne peuvent y remédier, et cela fait d’un pipeline natif de l’IA une nécessité, pas un « agréable à avoir ».

Pourtant, d’importantes questions de confiance et de gouvernance demeurent.

Les outils de remédiation autonomes pourraient introduire des correctifs défectueux ou des régressions si la validation manque des cas extrêmes, tandis que les entreprises pourraient se méfier de l’octroi aux agents d’IA d’un accès non supervisé aux bases de code sensibles.

L’accent mis par CodeMender sur la validation, les tests et l’orchestration des flux de travail suggère que Google reconnaît ces préoccupations et tente peut-être maintenant de positionner CodeMender non pas comme un acteur totalement indépendant, mais comme un participant étroitement gouverné au sein de pipelines de développement d’entreprises plus vastes.

En annonçant l’actualité de l’intégration chez I/O, Google a réitéré que tout se passerait « avec votre approbation ». « L’ensemble de ce processus automatise un déploiement sécurisé tout en garantissant que vos développeurs conservent le contrôle », a rassuré l’entreprise.