El 8 de mayo, el ingeniero de software Jeff Kaufman (jefftk) publicó el artículo “AI is Breaking Two Vulnerability Cultures”, en el que sostiene que la IA está rompiendo dos culturas de tratamiento de vulnerabilidades que han coexistido durante mucho tiempo: la divulgación coordinada (coordinated disclosure) y los “bugs are bugs” (“los bugs son los bugs”). Ambas estrategias se apoyaban en el supuesto de que los atacantes detectan las fallas a una velocidad lenta, una premisa que ya ha sido superada por las tecnologías de escaneo automatizado basadas en IA. El texto original del blog de Kaufman y obtuvo más de 200 puntos en Hacker News, convirtiéndose en uno de los artículos de observación de seguridad con mayor conversación de la semana en la comunidad de desarrolladores.
Dos culturas de vulnerabilidades: divulgación coordinada vs “bugs are bugs”
El marco de dos culturas que reúne Kaufman:
Divulgación coordinada (coordinated disclosure): el descubridor notifica en privado a los mantenedores, proporciona un plazo típico de 90 días para la corrección y luego publica la divulgación. El supuesto detrás: los atacantes necesitan tiempo para descubrir de forma independiente la misma vulnerabilidad
Corrección silenciosa “Bugs are Bugs”: una práctica común en proyectos open source como Linux; las correcciones no se señalan especialmente como “arreglos de seguridad”, se “ahogan” las correcciones de seguridad mediante el volumen de envíos y se evita llamar la atención de los atacantes
Ambas culturas han podido coexistir en el pasado porque los atacantes no contaban con herramientas “rápidas, automáticas y de bajo costo” para escanear todo el historial de envíos o buscar simultáneamente la misma vulnerabilidad. La IA cambió esa premisa.
El impacto de la IA en la “corrección silenciosa”: el escaneo de commits se vuelve barato
Impacto específico de la IA en proyectos open source de estilo Linux:
Antes: los atacantes tenían que revisar uno por uno los envíos; se necesitaban muchas personas y tiempo; “ahogarlo entre el volumen de envíos” era una cobertura efectiva
Ahora: la IA puede escanear a bajo costo el historial de commits y reconocer de forma automática los commits que “parecen correcciones de seguridad”, incluso si el autor no lo menciona explícitamente
Impacto: la discreción de la corrección silenciosa está perdiendo rapidez; el período de amortiguación “tras la corrección y antes del despliegue” se está comprimiendo
Kaufman cita casos concretos: “examining commits” cada vez resulta más atractivo, porque la evaluación de cada cambio por parte de la IA “se vuelve cada vez más barata y más efectiva”. Esto implica que en el futuro los proyectos open source ya no podrán depender de la ventaja tradicional de “corregir más rápido que la atención del atacante”.
El impacto de la IA en la “divulgación coordinada”: el período de embargo de 90 días se vuelve contraproducente
El núcleo de la cultura de divulgación coordinada es el “embargo” (embargo), un compromiso del descubridor para no publicar antes de que los mantenedores hayan corregido, pero la IA permite que varios equipos escaneen sincrónicamente la misma vulnerabilidad:
Caso concreto: una vulnerabilidad reportada por la investigadora Hyunwoo Kim; 9 horas después ya fue descubierta de forma independiente
Varios equipos que realizan escaneos asistidos por IA operan de manera coordinada, y un embargo largo a la vez da una “falsa sensación de falta de urgencia”
Cuando otros pueden encontrarla en 9 horas, un embargo de 90 días deja a los atacantes reales una ventana de ataque de 89 días y 23 horas
La conclusión de Kaufman es: en el futuro deberían adoptarse “embargos muy cortos” y, a medida que aumenten las capacidades de la IA, esos períodos deberían acortarse aún más. Lo importante es que la aceleración con IA no beneficia unilateralmente a los atacantes: los defensores también pueden usar IA para acelerar la corrección y el despliegue, compitiendo ambos dentro de esas ventanas de tiempo comprimidas.
Eventos concretos que se pueden seguir: si proyectos grandes como Linux Kernel y Project Zero actualizarán sus guías de tiempos de divulgación; el progreso de la comercialización de herramientas automáticas de escaneo de vulnerabilidades basadas en IA (Semgrep, CodeQL, etc.); y las estrategias concretas que adoptan los equipos de seguridad de las empresas frente al “doble filo” de la IA.
Este artículo, “Jeff Kaufman: AI rompe dos culturas de vulnerabilidades y el embargo de 90 días se vuelve contraproducente”, apareció por primera vez en 鏈新聞 ABMedia.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
