
Crean un sistema de IA que detecta exactamente dónde y cómo puede ser atacado un programa
Ying Zhang, profesora asistente en Wake Forest University, y sus antiguas directoras doctorales en Virginia Tech —la profesora asociada Na Meng y la profesora Danfeng Yao— desarrollaron un sistema basado en grandes...
July 31 — İsrail x Hizbullah ile kalıcı barış anlaşması...?
Estas son las últimas noticias de todo el mundo: Ying Zhang, profesora asistente en Wake Forest University, y sus antiguas directoras doctorales en Virginia Tech —la profesora asociada Na Meng y la profesora Danfeng Yao— desarrollaron un sistema basado en grandes modelos de lenguaje para generar automáticamente demostraciones de cómo un atacante real podría explotar vulnerabilidades conocidas en software. El objetivo del proyecto es que los desarrolladores vean el riesgo en concreto y lo corrijan antes de que lo descubran actores maliciosos, informó el portal de divulgación científica TechXplore. El sistema produce lo que los investigadores denominan “proof-of-concept exploits”: secuencias paso a paso que muestran exactamente cómo se explota una falla.
En las pruebas, el sistema generó esas demostraciones con un alto nivel de fiabilidad, un avance sobre un problema que durante años resistió soluciones automáticas. El trabajo, presentado en Montreal, Canadá, en la ACM International Conference on the Foundations of Software Engineering, parte de una realidad que atraviesa el uso cotidiano de la tecnología: las vulnerabilidades del software suelen estar ocultas en interfaces de programación de aplicaciones —conocidas como APIs—, que conectan distintos programas y permiten el intercambio de datos cuando una persona usa una aplicación, compra en línea o interactúa con un servicio digital. “Se puede ver una API como un canal de comunicación entre dos piezas de software”, explicó Zhang.
Los detalles
“Si la API acepta entradas maliciosas o inesperadas sin realizar la validación adecuada y los controles de seguridad, los atacantes pueden aprovechar esas debilidades para activar vulnerabilidades, comprometer sistemas o llevar a cabo ciberataques exitosos”. Por qué mostrar el ataque obliga a actuarEl equipo partió de un problema humano además de técnico: los desarrolladores suelen priorizar que el programa funcione y relegan la seguridad. “La mayor parte del tiempo, la seguridad es tratada como una ciudadana de segunda clase”, dijo Meng.
“Los desarrolladores suelen priorizar la funcionalidad por encima de la seguridad, especialmente cuando los riesgos no son visibles de inmediato”. Sobre esa brecha, el equipo desarrolló una herramienta basada en grandes modelos de lenguaje, la misma tecnología subyacente en sistemas como ChatGPT, para producir de forma automática pruebas prácticas de explotación. La lógica, según los investigadores, es que una advertencia abstracta puede ignorarse, mientras que una demostración concreta de cómo se vulnera un sistema obliga a reaccionar.
“Si los desarrolladores necesitan una motivación fuerte, dicen: ‘Muéstrame la explotación’”, afirmó Zhang. “Entonces harán los cambios”. La meta del proyecto, subrayó la investigadora, es defensiva: ayudar a que los equipos de software entiendan el riesgo y lo resuelvan antes de que lo descubran actores maliciosos.
Qué dicen los expertos
De acuerdo con el portal, OpenAI mostró interés en el trabajo, una primera señal de que la propuesta ya atrae atención fuera del ámbito estrictamente académico. La investigación apunta a la cadena de suministroUna segunda línea del trabajo se concentra en la cadena de suministro de software: la red de dependencias que conecta aplicaciones modernas construidas por capas con bibliotecas de terceros y código externo. En ese entorno, una falla profunda en un nivel puede propagarse hacia arriba y exponer sistemas cuyos desarrolladores ni siquiera saben que están en riesgo.
Para ese problema, el equipo desarrolló herramientas automáticas capaces de identificar qué APIs concretas dentro de un programa son vulnerables. Esa información suele estar ausente o incompleta, lo que deja a los desarrolladores sin una referencia clara sobre dónde concentrar sus esfuerzos de seguridad. “Es difícil para los desarrolladores realizar inspecciones de código o localizar vulnerabilidades sin esa información”, señaló Zhang.
“Por eso tratamos de derivarla de manera automática”. La precisión es el punto clave de esa línea de investigación. Saber que existe una falla en alguna parte del sistema ofrece mucho menos valor que saber exactamente dónde está y qué condiciones permitirían explotarla.
El desarrollo ha despertado una amplia atención internacional, con los círculos diplomáticos siguiéndolo de cerca.





