04 ago 2025
Google dice que su cazador de errores basado en IA encontró 20 vulnerabilidades de seguridad
Publicado por: 13punto8 | Temas: Internet,
El detector de errores de Google, basado en IA, acaba de reportar su primera tanda de vulnerabilidades de seguridad.
Heather Adkins, vicepresidenta de seguridad de Google, anunció el lunes que Big Sleep, su investigador de vulnerabilidades con sede en LLM, encontró y reportó 20 fallas en varios programas populares de código abierto.
Adkins afirmó que Big Sleep, desarrollado por el departamento de IA de la compañía, DeepMind, y su equipo de hackers de élite, Project Zero, reportó sus primeras vulnerabilidades, principalmente en programas de código abierto como la biblioteca de audio y video FFmpeg y la suite de edición de imágenes ImageMagick.
Dado que las vulnerabilidades aún no se han corregido, no disponemos de detalles sobre su impacto ni su gravedad, ya que Google aún no está dispuesto a proporcionar detalles, lo cual es una política estándar mientras se espera la corrección de errores. Sin embargo, el simple hecho de que Big Sleep haya encontrado estas vulnerabilidades es significativo, ya que demuestra que estas herramientas están empezando a obtener resultados reales, incluso con la participación humana en este caso.
“Para garantizar informes de alta calidad y procesables, contamos con un experto humano que interviene antes de informar, pero cada vulnerabilidad fue encontrada y reproducida por el agente de IA sin intervención humana”, explicó a TechCrunch la portavoz de Google, Kimberly Samra.
Royal Hansen, vicepresidente de ingeniería de Google, escribió en X que los hallazgos demuestran "una nueva frontera en el descubrimiento automatizado de vulnerabilidades".
Las herramientas basadas en LLM que pueden buscar y encontrar vulnerabilidades ya son una realidad. Además de Big Sleep, existen RunSybil y XBOW, entre otras.
XBOW ha acaparado titulares tras alcanzar la cima de una de las tablas de clasificación estadounidenses de la plataforma de recompensas por errores HackerOne. Es importante destacar que, en la mayoría de los casos, estos informes cuentan con la participación de un humano en algún punto del proceso para verificar que el cazador de errores con IA haya encontrado una vulnerabilidad legítima, como es el caso de Big Sleep.
Vlad Ionescu, cofundador y director de tecnología de RunSybil, una startup que desarrolla cazadores de errores con IA, declaró a TechCrunch que Big Sleep es un proyecto "legítimo", dado que tiene "un buen diseño, quienes lo respaldan saben lo que hacen, Project Zero tiene la experiencia en la detección de errores y DeepMind tiene la potencia y los tokens necesarios para implementarlo".
Es evidente que estas herramientas son muy prometedoras, pero también presentan importantes inconvenientes. Varias personas que gestionan diferentes proyectos de software se han quejado de informes de errores que, en realidad, son alucinaciones, y algunos los califican como el equivalente en las recompensas por errores a la basura de la IA.