Los agentes de inteligencia artificial mejoran en la redacción de código y también en la piratería.

Investigaciones recientes revelan que los nuevos modelos de inteligencia artificial no solo son competentes en la ingeniería de software, sino que también están mejorando notablemente en la detección de errores en el software. Investigadores de la Universidad de California en Berkeley evaluaron la efectividad de los modelos y agentes de IA más recientes para identificar vulnerabilidades en 188 grandes bases de código de código abierto. A través de un nuevo sistema de evaluación conocido como CyberGym, los modelos de IA lograron identificar 17 nuevos fallos, de los cuales 15 eran completamente desconocidos hasta ese momento.

Dawn Song, profesora en UC Berkeley y líder del estudio, destaca que muchas de las vulnerabilidades detectadas son críticas. Los expertos prevén que los modelos de IA se conviertan en herramientas poderosas en el ámbito de la ciberseguridad. Un ejemplo de esto es una herramienta de IA de la startup Xbow, que ha ascendido en el ranking de HackerOne para la búsqueda de errores, ocupando actualmente el primer lugar tras recibir 75 millones de dólares en financiamiento recientemente.

Song explica que la combinación de habilidades de codificación de los modelos de IA más avanzados con sus capacidades de razonamiento está comenzando a transformar el panorama de la ciberseguridad, considerando este momento como crucial y sorprendente. A medida que estos modelos continúan perfeccionándose, se espera que automaticen tanto el descubrimiento como la explotación de fallos de seguridad, lo que podría ayudar a las empresas a proteger su software, aunque también podría facilitar a los hackers el acceso a los sistemas.

El equipo de UC Berkeley analizó modelos de IA convencionales de OpenAI, Google y Anthropic, así como ofertas de código abierto de Meta, DeepSeek y Alibaba, complementados con varios agentes diseñados para hallar errores. Utilizaron descripciones de vulnerabilidades conocidas para alimentar a los agentes de ciberseguridad impulsados por IA e investigar si podían identificar fallos nuevos en las bases de código.

Durante el proceso, las herramientas de IA generaron cientos de pruebas de concepto, identificando 15 vulnerabilidades previamente no detectadas y dos ya conocidas que habían sido reparadas. Este avance refuerza la evidencia de que la IA puede automatizar el descubrimiento de vulnerabilidades de día cero, que son peligrosas y valiosas pues pueden permitir el hackeo de sistemas activos.

A pesar de la creciente integración de la IA en la industria de la ciberseguridad, muchos expertos señalan las limitaciones de esta tecnología. Las IA no lograron identificar la mayoría de los fallos y tuvieron dificultades con los problemas más complejos. Katie Moussouris, fundadora de Luta Security, enfatiza que la IA aún no puede igualar la experiencia humana, ya que los mejores modelos y combinaciones de agentes solo pudieron encontrar alrededor del 2% de las vulnerabilidades.

Además, hay preocupaciones sobre el posible exceso de inversión en IA y sus implicaciones en las técnicas tradicionales de ciberseguridad. Brendan Dolan-Gavitt, profesor asociado en la Universidad de Nueva York, afirma que el descubrimiento realista de vulnerabilidades de día cero utilizando IA podría incrementar los ataques con este tipo de exploits.

Hayden Smith, cofundador de Hunted Labs, considera fascinante la capacidad de estos agentes para descubrir nuevas vulnerabilidades, subrayando la importancia de que su divulgación se realice de manera responsable. Usualmente, la IA ha mostrado un potencial considerable en la identificación de errores que pueden generar recompensas monetarias significativas.

Investigaciones anteriores sugieren que modelos de IA en constante mejora probablemente favorecerán a los atacantes frente a los defensores, un hecho que requiere un monitoreo cercano de la capacidad de estas herramientas. En respuesta a esto, Song y otros investigadores han creado el Observatorio de Ciberseguridad de IA Frontiers, una iniciativa colaborativa destinada a evaluar las capacidades de diversos modelos y herramientas de IA.