Uno de los mejores hackers del mundo es un agente de IA. Por ahora, está de nuestro lado

Los modelos más recientes de inteligencia artificial no solo son notablemente buenos en ingeniería de software, nuevas investigaciones muestran que también son cada vez mejores en la detección de errores en el propio software.

Investigadores de IA en la Universidad de California en Berkeley probaron la capacidad de los modelos y agentes de IA más recientes para detectar vulnerabilidades en 188 grandes bases de código abierto. Utilizando un nuevo punto de referencia llamado CyberGym, los modelos de IA identificaron 17 nuevos bugs, incluidos 15 previamente desconocidos o de «día cero». «Muchas de estas vulnerabilidades son críticas», afirma Dawn Song, profesora de UC Berkeley quien dirigió el trabajo.

Armas de seguridad de IA

Muchos expertos esperan que los modelos de IA se conviertan en formidables armas de ciberseguridad. Una herramienta de IA de la startup Xbow ha escalado posiciones en la clasificación de HackerOne para la detección de errores y actualmente ocupa el primer puesto. La compañía anunció recientemente un nuev financiamiento de 75 millones de dólares.

Song afirma que las habilidades de codificación de los últimos modelos de IA, combinadas con la mejora de las capacidades de razonamiento, están empezando a cambiar el panorama de la ciberseguridad. «Este es un momento crucial», opina. «De hecho, ha superado nuestras expectativas generales».

A medida que los modelos sigan mejorando, automatizarán el proceso tanto de descubrir como de explotar fallos de seguridad. Esto podría ayudar a las empresas a mantener su software seguro, pero también podría ayudar a los hackers a introducirse en los sistemas. «Ni siquiera nos esforzamos tanto», anuncia Song. «Si aumentáramos el presupuesto y dejáramos que los agentes funcionaran durante más tiempo, podrían hacerlo aún mejor».

El equipo de UC Berkeley probó modelos de IA convencionales de OpenAI, Google y Anthropic, así como ofertas de código abierto de Meta, DeepSeek y Alibaba combinadas con varios agentes para encontrar bugs, incluidos OpenHands , Cybench y EnIGMA.

Los investigadores utilizaron descripciones de vulnerabilidades de software conocidas de los 188 proyectos. Posteriormente, proporcionaron estas descripciones a los agentes de ciberseguridad, impulsados ​​por modelos de IA de vanguardia, para ver si podían identificar las mismas fallas mediante el análisis de nuevas bases de código, la ejecución de pruebas y el desarrollo de exploits de prueba de concepto. El equipo también pidió a los agentes que buscaran por sí mismos nuevas vulnerabilidades en las bases de código.

A través del proceso, las herramientas de IA generaron cientos de exploits de prueba de concepto, y de estos, los investigadores identificaron 15 vulnerabilidades previamente desconocidas y dos vulnerabilidades que ya habían sido descubiertas y corregidas. Este trabajo refuerza la creciente evidencia de que la IA puede automatizar el descubrimiento de vulnerabilidades de día cero, potencialmente peligrosas (y valiosas) porque pueden proporcionar una forma de hackear sistemas activos.

Sin embargo, la IA parece destinada a convertirse en una parte importante de la industria de la ciberseguridad. El experto en seguridad Sean Heelan descubrió recientemente una vulnerabilidad de día cero en el ampliamente utilizado kernel de Linux con la ayuda del modelo de razonamiento o3 de OpenAI. El pasado noviembre, Google anunció el descubrimiento de una vulnerabilidad de software previamente desconocida mediante IA a través de un programa llamado Proyecto Cero.

Pero todavía falta

Al igual que otros sectores de la industria del software, muchas empresas de ciberseguridad están fascinadas con el potencial de la IA. El nuevo trabajo demuestra que la IA puede detectar nuevas fallas con frecuencia, pero también destaca las limitaciones que aún presenta la tecnología. Los sistemas de IA no lograron detectar la mayoría de las fallas y se vieron obstaculizados por las especialmente complejas.

«El trabajo es fantástico», piensa Katie Moussouris, fundadora y CEO de Luta Security, en parte porque demuestra que la IA sigue sin estar a la altura de la experiencia humana: la mejor combinación de modelo y agente (Claude y OpenHands) solamente fue capaz de encontrar alrededor del 2% de las vulnerabilidades. «No sustituyas todavía a tus cazadores de bugs humanos», advierte Moussouris.