Cómo funciona la búsqueda de errores con IA y por qué cambia la seguridad

La antigua forma de encontrar errores

Durante décadas, los investigadores de ciberseguridad han confiado en dos métodos principales para encontrar vulnerabilidades de software: la revisión manual del código y el fuzzing. La revisión manual implica que un experto humano lee el código fuente línea por línea, buscando errores. Es exhaustivo, pero dolorosamente lento: un auditor cualificado podría revisar unos pocos miles de líneas al día en una base de código que contiene millones.

El fuzzing adopta un enfoque diferente. Las herramientas automatizadas bombardean un programa con entradas aleatorias, malformadas o inesperadas, con la esperanza de provocar fallos que revelen defectos ocultos. El servicio OSS-Fuzz de Google, lanzado en 2016, ha utilizado esta técnica para encontrar más de 10.000 vulnerabilidades de seguridad en más de 1.000 proyectos de código abierto. Pero incluso OSS-Fuzz alcanza solo alrededor del 30% de cobertura de código en promedio, dejando vastas extensiones de código sin probar.

Ambos métodos comparten una limitación fundamental: tienen dificultades con los errores lógicos, fallos que no causan fallos evidentes, pero permiten a los atacantes manipular el comportamiento de un programa de forma sutil y peligrosa.

Cómo la IA cambia el juego

La búsqueda de errores impulsada por IA funciona de forma diferente a las herramientas tradicionales. En lugar de lanzar a ciegas entradas aleatorias al software, los modelos de lenguaje grandes (LLM) modernos pueden leer y comprender el código, razonar sobre lo que se supone que debe hacer y formular hipótesis específicas sobre dónde podrían esconderse los errores. Luego, elaboran casos de prueba específicos diseñados para confirmar o refutar esas hipótesis.

Esto es importante porque el enfoque de la IA combina fortalezas que antes estaban separadas. Al igual que un auditor humano, los modelos de IA comprenden la lógica y la intención del programa. Al igual que un fuzzer, pueden operar a la velocidad de la máquina en enormes bases de código. El resultado es un sistema que detecta errores que las herramientas tradicionales no pueden.

Google demostró este enfoque híbrido integrando LLM en OSS-Fuzz. La IA genera fuzz targets (funciones de prueba especializadas) para secciones de código poco probadas. En un proyecto, el analizador XML de código abierto tinyxml2, las pruebas generadas por IA aumentaron la cobertura de código del 38% al 69% sin ninguna intervención manual. Replicar ese resultado a mano le habría llevado a un desarrollador aproximadamente un día completo de trabajo, y hay miles de proyectos que cubrir.

Del fuzzing al hacking autónomo

La última generación de buscadores de errores de IA va mucho más allá del fuzzing inteligente. Claude Mythos Preview de Anthropic, revelado a través de la iniciativa Project Glasswing de la compañía, representa un cambio radical en la capacidad. El modelo puede planificar de forma autónoma investigaciones de varios pasos, identificar vulnerabilidades no reveladas, escribir código de explotación y encadenar múltiples fallos en rutas de ataque completas, todo sin guía humana.

Los resultados son sorprendentes. Mythos Preview ha descubierto miles de vulnerabilidades de alta gravedad en todos los principales sistemas operativos y navegadores web, según Anthropic. Entre los descubrimientos:

• Un error de 27 años en OpenBSD, uno de los sistemas operativos más reforzados en seguridad que existen, explotable a través de una simple conexión de red
• Un fallo de 16 años en FFmpeg, una biblioteca de procesamiento de vídeo ampliamente utilizada, que las herramientas de prueba automatizadas habían activado cinco millones de veces sin llegar a detectarlo
• Múltiples vulnerabilidades encadenadas en el kernel de Linux que permiten la escalada completa de privilegios desde el acceso de usuario ordinario hasta el control completo del sistema

En el benchmark CyberGym para la reproducción de vulnerabilidades, Mythos Preview obtuvo una puntuación del 83,1%, en comparación con el 66,6% de su modelo predecesor.

El dilema del defensor

La búsqueda de errores con IA crea una paradoja que la comunidad de ciberseguridad llama el problema del doble uso. La misma capacidad que ayuda a los defensores a encontrar y parchear vulnerabilidades podría ayudar a los atacantes a descubrirlas y explotarlas. Un modelo lo suficientemente potente como para proteger todos los sistemas operativos también es lo suficientemente potente como para comprometerlos.

La respuesta de Anthropic ha sido restringir el acceso. En lugar de lanzar Mythos Preview públicamente, la compañía lanzó Project Glasswing como un programa defensivo restringido, compartiendo el modelo con más de 40 organizaciones que construyen o mantienen infraestructura de software crítica. La compañía se ha comprometido con hasta 100 millones de dólares en créditos de uso y 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto para apoyar el esfuerzo.

La industria en general se está moviendo en una dirección similar. Microsoft, Google y otras grandes empresas de tecnología están integrando agentes de IA en sus flujos de trabajo de seguridad, no para reemplazar a los analistas humanos, sino para manejar el gran volumen de código que ningún equipo de humanos podría revisar manualmente.

Por qué es importante

El software que ejecuta la infraestructura moderna (sistemas operativos, navegadores, bibliotecas de cifrado, marcos de servidores) contiene miles de millones de líneas de código, muchas de ellas escritas hace décadas. Los métodos tradicionales han demostrado ser insuficientes para protegerlo todo. La búsqueda de errores con IA no elimina la necesidad de investigadores de seguridad cualificados, pero amplía drásticamente lo que es posible: escanear bases de código a una escala y profundidad que antes eran inimaginables y detectar fallos que sobrevivieron sin ser detectados durante una generación.

La carrera está ahora en marcha entre los defensores que despliegan estas herramientas para parchear vulnerabilidades y los adversarios que buscan aprovechar la misma tecnología para atacar. La forma en que se desarrolle esa carrera determinará la seguridad de la infraestructura digital de la que depende el mundo.