La automatización en la detección de vulnerabilidades está revolucionando los costos de seguridad en las empresas, que tradicionalmente favorecían a los atacantes. Alcanzar la meta de reducir los exploits a cero era considerado un objetivo irrealizable. La doctrina operativa predominante buscaba hacer que los ataques resultaran tan costosos que solo aquellos adversarios con presupuestos prácticamente ilimitados pudieran permitirse llevarlos a cabo, desincentivando así su uso casual.
Sin embargo, una reciente evaluación del equipo de ingeniería de Mozilla Firefox, utilizando Claude Mythos Preview de Anthropic, desafía este statu quo aceptado. Durante su evaluación inicial, el equipo de Firefox identificó y corrigió 271 vulnerabilidades en su versión 150. Esto siguió a una colaboración previa con Anthropic que resultó en 22 correcciones de seguridad en la versión 148.
Descubrir cientos de vulnerabilidades al mismo tiempo agota rápidamente los recursos de un equipo. Sin embargo, en el actual clima regulatorio estricto, realizar el trabajo pesado para prevenir una violación de datos o un ataque de ransomware resulta ser una inversión que se paga por sí sola. La escanerización automatizada también reduce costos; dado que el sistema revisa continuamente el código en comparación con bases de datos de amenazas conocidas, las empresas pueden disminuir la contratación de costosos consultores externos.
Integrar modelos de IA de frontera en los sistemas de integración continua existentes presenta consideraciones significativas de costos computacionales. Procesar millones de tokens de código propietario a través de un modelo como Claude Mythos Preview requiere una inversión de capital considerable. Las empresas deben establecer entornos seguros de bases de datos vectoriales para gestionar las ventanas de contexto necesarias para vastas bases de código, garantizando que la lógica corporativa propietaria se mantenga estrictamente partitionada y protegida.
La evaluación de los resultados también exige una rigurosa mitigación de alucinaciones. Un modelo que genera vulnerabilidades de seguridad falsas positivas desperdicia horas valiosas de ingeniería humana. Por lo tanto, el pipeline de implementación debe cruzar las salidas del modelo con herramientas de análisis estático existentes y resultados de fuzzing para validar los hallazgos. Las pruebas de seguridad automatizadas dependen en gran medida de técnicas de análisis dinámico, particularmente fuzzing, ejecutadas por equipos internos de red.
Si bien el fuzzing es altamente efectivo, enfrenta dificultades en ciertas partes de la base de código. Investigadores de seguridad de élite superan estas limitaciones razonando manualmente a través del código fuente para identificar fallas lógicas. Este proceso manual consume mucho tiempo y está limitado por la escasez de expertos humanos de élite. La integración de modelos avanzados elimina esta limitación humana. Computadoras, que eran incapaces de realizar esta tarea hace solo unos meses, ahora sobresalen en razonar a través del código. Mythos Preview demuestra paridad con los mejores investigadores de seguridad del mundo.
El equipo de ingeniería señaló que no han encontrado ninguna categoría o complejidad de falla que los humanos puedan identificar que el modelo no pueda. Además, es alentador que no hayan visto errores que no pudieran haber sido descubiertos por un investigador humano de élite. Aunque la migración a lenguajes seguros para la memoria como Rust mitiga ciertas clases comunes de vulnerabilidades, detener el desarrollo para reemplazar décadas de código legado en C++ resulta financieramente inviable para la mayoría de las empresas. Las herramientas de razonamiento automatizado ofrecen un método altamente rentable para asegurar bases de código legado sin incurrir en el exorbitante costo de una revisión completa del sistema.
Un gran desfase entre lo que las máquinas pueden descubrir y lo que los humanos pueden detectar favorece enormemente al atacante. Actores hostiles pueden concentrar meses de costoso esfuerzo humano para descubrir un solo exploit. Cerrar esta brecha de descubrimiento hace que la identificación de vulnerabilidades sea económica, erosionando la ventaja a largo plazo del atacante. Si bien la primera ola de fallas identificadas puede resultar aterradora a corto plazo, ofrece excelentes noticias para la defensa empresarial. Los proveedores de software vital expuesto a internet cuentan con equipos dedicados a proteger a los usuarios.
A medida que otras empresas tecnológicas adopten métodos de evaluación similares, el estándar básico de responsabilidad del software cambiará. Si los modelos pueden encontrar de manera confiable fallas lógicas en una base de código, no utilizar tales herramientas podría pronto considerarse negligencia corporativa. Es importante señalar que no hay indicios de que estos sistemas estén inventando categorías completamente nuevas de ataques que desafíen la comprensión actual. Aplicaciones de software como Firefox están diseñadas de manera modular para permitir el razonamiento humano sobre la corrección. El software es complejo, pero no arbitrariamente complejo. Los defectos de software son finitos.
Al adoptar auditorías automatizadas avanzadas, los líderes tecnológicos pueden derrotar activamente las amenazas persistentes. La afluencia inicial de datos exige un enfoque de ingeniería intenso y una re-priorización. Sin embargo, los equipos que se comprometan con el trabajo de remediación requerido encontrarán una conclusión positiva al proceso. La industria se dirige hacia un futuro cercano donde los equipos de defensa poseerán una ventaja decisiva.
