Empresas como Microsoft, Palo Alto Networks y Mozilla están utilizando modelos de IA avanzados para detectar vulnerabilidades en sus códigos a una velocidad sin precedentes. Aunque esto permite corregir fallos antes de que sean explotados, ha generado un aumento masivo de parches y una carga de trabajo mucho mayor para los administradores de sistemas. Los expertos advierten que existe una ventana crítica de pocos meses para superar la capacidad de los atacantes antes de que los exploits impulsados por IA se vuelvan la norma.




El vulnpocalipsis ha comenzado.

Palo Alto Networks suele encontrar cinco vulnerabilidades al mes, pero el miércoles informó que escaneó todo su código utilizando los modelos frontera más recientes, incluido Mythos de Anthropic, y encontró 75 agujeros de seguridad, cubiertos en 26 CVE.

Esto ocurre un día después de que Microsoft dijera que utilizó su nuevo sistema agentico de búsqueda de errores llamado MDASH para encontrar 17 vulnerabilidades en sus productos, en un Patch Tuesday récord en el que Redmond reveló la asombrosa cifra de 30 CVE críticos.

Además, la semana pasada Mozilla dijo que corrigió 423 errores de Firefox en abril, lo que es más de cinco veces superior a las 76 correcciones emitidas en marzo y casi 20 veces superior a su promedio mensual de 21,5 el año pasado. El fabricante del navegador afirmó anteriormente que Mythos encontró 271 fallos en Firefox 150.

No debería ser tan sorprendente. Los proveedores de seguridad han advertido durante mucho tiempo sobre el uso de la IA por parte de los atacantes, y cómo esto significa que los defensores deben operar a la velocidad de la IA para proteger sus propias redes y sistemas (es decir, comprando sus productos potenciados por IA).

Triage, divulgación, creación de parches que no rompan la producción y lograr que los clientes los desplieguen es el extremo costoso, y nadie lo ha financiado para este volumen

Ahora que los modelos se han vuelto realmente buenos encontrando errores en el código, las empresas de seguridad están utilizando la IA para escanear su propio software, con la esperanza de descubrir y corregir fallos antes que los malintencionados. Y esto se traduce en dos cosas: más parches y más trabajo para los administradores.

Dustin Childs, jefe de búsqueda de vulnerabilidades de Zero Day Initiative, coincide con esta evaluación.

"Al principio, sí, esto significa más parches y, por lo tanto, más trabajo para los administradores", dijo a The Register. "El objetivo con el tiempo sería eliminar tantos como sea posible y, así, esa cifra mensual disminuya".

Lo que hará que toda esta temporada de búsqueda de errores con IA sea "realmente dolorosa", continuó, es que los parches no funcionen o, peor aún, rompan cosas.

"Muchos clientes ya no confían en los parches, por lo que si los parches relacionados con la IA rompen cosas, será menos probable que los apliquen con el tiempo", añadió Childs. "Esto será cierto incluso si la IA solo encuentra los errores y no crea los parches".

Búsqueda de errores con esteroides

Esto no quiere decir que las empresas de seguridad deban evitar la IA para encontrar y corregir fallos. "Todos los proveedores deberían utilizar las herramientas que tengan para encontrar y remediar errores antes de que sean explotados en el mundo real", dijo Childs. "Idealmente, encontrarían los errores antes incluso de lanzar el producto, pero no voy a contener la respiración para que eso suceda".

Tanto Microsoft como Palo Alto Networks (PAN) forman parte del Proyecto Glasswing de Anthropic, lo que significa que están entre el grupo selecto de entidades autorizadas a probar Mythos, el tan publicitado LLM, para encontrar agujeros de seguridad en sus propios productos.

Palo Alto Networks comenzó a probar Mythos el 7 de abril y desde entonces ha seguido utilizando el LLM y otros modelos frontera, incluidos Claude Opus 4.7 y GPT-5.5-Cyber de OpenAI, según el gerente de producto Lee Klarich.

"Hoy hemos publicado nuestros avisos de seguridad del 'Patch Wednesday' de mayo", dijo Klarich en un blog del miércoles, añadiendo que "esta es la primera vez que la mayoría de los hallazgos fueron el resultado de modelos de IA frontera escaneando nuestro código". Leer más

Los LLM escanearon más de 130 productos y plataformas de Palo Alto Networks y, como se señaló anteriormente, encontraron 75 problemas, cubiertos en 26 CVE.

Ninguno de estos errores está siendo explotado y, hasta el miércoles, la empresa ha corregido todos los errores en sus productos SaaS y ha codificado parches para todos los productos operados por clientes.

Tal vez 5 meses antes de que 'los exploits impulsados por IA sean la nueva norma'

"Tenemos la intención de corregir cada vulnerabilidad que encontremos antes de que las capacidades avanzadas de IA estén ampliamente disponibles para los adversarios", dijo Klarich en su blog, añadiendo que su empresa prevé "una estrecha ventana de tres a cinco meses para que las organizaciones superen al adversario antes de que los exploits impulsados por IA comiencen a convertirse en la nueva norma".

Un día antes, Microsoft dijo que su nuevo arnés de escaneo agentico multimodelo (nombre en código MDASH) ayudó a los investigadores a encontrar 16 nuevas vulnerabilidades en la pila de red y autenticación de Windows, según se reveló en el evento Patch Tuesday de mayo. Esto incluyó cuatro fallos críticos de ejecución remota de código en componentes como la pila TCP/IP del kernel de Windows y el servicio IKEv2.

"A diferencia de los enfoques de un solo modelo, el arnés orquesta más de 100 agentes de IA especializados a través de un conjunto de modelos frontera y destilados para descubrir, debatir y probar errores explotables de extremo a extremo", dijo Taesoo Kim, vicepresidente de seguridad agentica de Microsoft en un blog del martes.

Tom Gallagher, vicepresidente de ingeniería del Centro de Respuesta de Seguridad de Microsoft, admitió que "el lanzamiento de este mes es más grande que el de un mes de hotpatch habitual". Gallagher dijo que espera que la búsqueda de errores asistida por IA aumente los lanzamientos de Patch Tuesday, ya que tanto Microsoft como investigadores externos utilizan estas herramientas para potenciar el descubrimiento de vulnerabilidades.

Y sí, todo esto significa, en última instancia, más parches y más trabajo.

Más parches = más trabajo

"Encontrar errores siempre ha sido la parte barata de la tubería", dijo la CEO de Luta, Katie Moussouris, a The Register. "El triage, la divulgación, la creación de parches que no rompan la producción y lograr que los clientes los desplieguen es la parte costosa, y nadie lo ha financiado para este volumen".

Moussouris ayudó a convencer a la cúpula de Redmond de que Microsoft necesitaba un programa de recompensas por errores en 2013 y, tres años más tarde, inició su propia consultoría de recompensas por errores.

Señaló el asombroso salto de CVE de Palo Alto Networks este mes. "Multiplique eso por cada proveedor y el cuello de botella se convierte en los administradores y los equipos de gestión de vulnerabilidades", dijo Moussouris.

Y también subrayó que las personas deberían estar utilizando estos nuevos modelos para encontrar vulnerabilidades. "Es exactamente lo que los defensores deberían estar haciendo", afirmó Moussouris.

"Tanto PAN como Microsoft llegaron a la misma respuesta: ningún modelo único captura todo. PAN utilizó Claude Mythos, Claude Opus 4.7 y GPT-5.5-Cyber porque cada uno encuentra errores que los otros pasan por alto", añadió.

"Microsoft orquesta más de 100 agentes especializados a través de múltiples modelos. Al añadir inteligencia de amenazas y contexto de la base de código, Microsoft redescubrió el 96 por ciento de cinco años de errores confirmados en un componente crítico de Windows. La asimetría es temporal, PAN sitúa la paridad del adversario en tres a cinco meses, por lo que cualquier proveedor que no escanee su propio código ahora está dejando que alguien más encuentre sus errores primero".

Fuente:
TheRegister