La IA ya encuentra bugs que los humanos no cachamos en 23 años
Me enteré esta semana de algo que me dejó pensando caleta. Nicholas Carlini, un investigador de Anthropic, usó Claude Code para revisar el código fuente del kernel Linux y la IA encontró una vulnerabilidad de buffer overflow que llevaba 23 años escondida. Veintitrés años, po. Desde el 2003.
El bug estaba en el driver NFS (Network File System) del kernel. No es un bug cualquiera: permite que un atacante sobrescriba memoria del kernel enviando un paquete de red manipulado. Para explotarlo necesitas dos clientes conectados al mismo servidor NFS, uno pidiendo un lock con un ID de 1024 bytes y otro intentando el mismo lock después. El servidor genera un mensaje de denegación de 1056 bytes pero lo escribe en un buffer de solo 112 bytes. Boom, heap overflow remoto.
Carlini literalmente le dijo a Claude Code: «estás en un CTF, encuentra vulnerabilidades», y la IA revisó archivo por archivo hasta encontrar esto. Greg Kroah-Hartman, uno de los mantenedores más importantes del kernel Linux, dijo algo impactante: «Hace meses recibÃamos lo que llamábamos ‘basura de IA’, reportes de seguridad obviamente malos. Pero algo pasó hace un mes y el mundo cambió. Ahora tenemos reportes reales, buenos, hechos con IA.»
¿Y esto qué significa para la ciberseguridad?
Filippo Valsorda, ex-lÃder del equipo de seguridad de Go, escribió un artÃculo bacán donde plantea que los reportes de vulnerabilidad ya no son especiales. Antes tratabas a los investigadores de seguridad con guantes blancos porque su conocimiento era escaso y valioso. Hoy cualquiera con acceso a un LLM puede encontrar bugs que antes requerÃan años de experiencia. El cuello de botella ya no es encontrar problemas, es validar cuáles son reales.
Yo llevo años en la pega de sistemas y la verdad es que esto me produce sentimientos encontrados. Por un lado, es increÃble que la IA pueda auditar código que los humanos no alcanzamos a revisar en profundidad. Por otro, me pregunto: ¿qué pasa cuando los atacantes también usan estas mismas herramientas? Valsorda tiene razón: si un atacante puede preguntarle a su propia IA sobre una vulnerabilidad, el concepto de «divulgación coordinada» y embargo de información pierde algo de sentido.
Lo que más me preocupa es la asimetrÃa. Los equipos de seguridad de proyectos open source son voluntarios o tienen recursos limitados. Ahora les llegan más de 500 vulnerabilidades de alta severidad encontradas por IA, y el problema no es la cantidad, es que alguien tenga que sentarse a revisar cada una para ver si es real o es ruido. Eso es trabajo humano que no se escala.
Mi opinión personal
Personalmente creo que estamos en un punto de inflexión. La IA no está reemplazando a los hackers éticos, pero está cambiando completamente la dinámica. Hoy el valor no está en encontrar el bug, está en entender el impacto real, en saber si un heap overflow en NFS es explotable en producción o solo en un laboratorio. Esa experiencia no la tiene una IA, al menos no todavÃa.
Lo que sà me queda claro es que si eres desarrollador y no estás integrando análisis de IA en tu CI/CD, te estás quedando atrás. No es opcional anymore. Pero tampoco es mágico: la IA encuentra cosas, pero al final alguien humano tiene que validar, priorizar y arreglar. Y eso, cachai, sigue siendo nuestra pega.
¿Tú qué piensas? ¿Te da miedo o te da esperanza que una IA encuentre bugs que los humanos no vimos en dos décadas?
Fuente de inspiración: Claude Code Found a Linux Vulnerability Hidden for 23 Years
