El último Los modelos de inteligencia artificial no solo son notablemente buenos en la ingeniería de software: la nueva investigación muestra que también se están volviendo cada vez más jugadores para encontrar errores en el software.
Los investigadores de IA en UC Berkeley probaron qué tan bien los últimos modelos y agentes de IA podrían encontrar vulnerabilidades en 188 grandes bases de código de código abierto. Utilizando un nuevo punto de referencia llamado CybergyM, los modelos AI identificaron 17 nuevos errores, incluidos 15 anteriores desconocidos, o “día cero”. “Muchas de estas vulnerabilidades son críticas”, dice Dawn Song, profesor de UC Berkeley que dirigió el trabajo.
Muchos expertos esperan que los modelos de IA se conviertan en armas cibernéticas formidables. Una herramienta de IA de la startup Xbow actualmente ha aumentado las filas de la clasificación de Hackerone para la caza de errores y actualmente se encuentra en el primer lugar. La compañía anunció recientemente $ 75 millones en nuevos fondos.
Song dice que las habilidades de codificación de los últimos modelos de IA combinados con la mejora de las habilidades de razonamiento están comenzando a cambiar el panorama cibernético. “Este es un momento crucial”, dice ella. “En realidad superó nuestras expectativas generales”.
A medida que los modelos continúen mejorando, automatizarán el proceso de descubrir y explotar fallas de seguridad. Esto podría ayudar a las empresas a mantener su software seguro, pero también puede ayudar a los piratas informáticos a irrumpir en los sistemas. “Ni siquiera lo intentamos duro”, dice Song. “Si nos aceleramos con el presupuesto, permitimos que los agentes corrieran por más tiempo, podrían hacerlo aún mejor”.
El equipo de UC Berkeley probó modelos de IA fronterizos convencionales de OpenAi, Google y Anthrope, así como ofrendas de código abierto de Meta, Deepseek y Alibaba combinados con varios agentes para encontrar errores, incluidos OpenHands, Cybench y Enigma.
Los investigadores utilizaron descripciones de vulnerabilidades de software conocidas de los 188 proyectos de software. Luego alimentaron las descripciones a los agentes de ciberseguridad alimentados por modelos de IA fronterizos para ver si podían identificar los mismos fallas para sí mismos analizando nuevas bases de código, ejecutando pruebas y creando exploits de prueba de concepto. El equipo también pidió a los agentes que buscan nuevas vulnerabilidades en las bases de código por sí mismos.
A través del proceso, las herramientas de IA generaron cientos de exploits de prueba de concepto, y de estas exploits, los investigadores identificaron 15 vulnerabilidades previamente invisibles y dos vulnerabilidades que habían sido reveladas y parcheadas previamente. El trabajo se suma a la creciente evidencia de que la IA puede automatizar el descubrimiento de vulnerabilidades de día cero, que son potencialmente peligrosas (y valiosas) porque pueden proporcionar una forma de piratear sistemas en vivo.
La IA parece destinada a convertirse en una parte importante de la industria de la ciberseguridad. El experto en seguridad Sean Heelan descubrió recientemente un defecto de día cero en el kernel Linux ampliamente utilizado con la ayuda del modelo de razonamiento O3 de OpenAI. En noviembre pasado, Google anunció que había descubierto una vulnerabilidad de software previamente desconocida utilizando IA a través de un programa llamado Proyecto Zero.
Al igual que otras partes de la industria del software, muchas empresas de ciberseguridad están enamoradas del potencial de la IA. El nuevo trabajo muestra que AI puede encontrar rutinariamente nuevos defectos, pero también destaca las limitaciones restantes con la tecnología. Los sistemas de IA no pudieron encontrar la mayoría de los defectos y fueron perplejos por otros especialmente complejos.
