Google reveló que su herramienta de detección automática de vulnerabilidades, OSS-Fuzz, identificó 26 fallas en diferentes repositorios, incluida una vulnerabilidad de gravedad media en la biblioteca OpenSSL, esencial para gran parte de la infraestructura de Internet.
Lo destacado de este descubrimiento es la forma en que se realizó: todas las fallas fueron detectadas por una inteligencia artificial.
Google explicó que OSS-Fuzz utilizó objetivos de fuzzing generados y refinados automáticamente por la IA, algo que supera los métodos tradicionales creados manualmente.
Según la empresa, la herramienta es capaz de simular todo el flujo de trabajo de un desarrollador, desde la creación hasta el análisis de fallas, aumentando la precisión y la calidad de los resultados.
Entre las vulnerabilidades se encuentra el CVE-2024-9143, un error en OpenSSL que permaneció desconocido durante casi dos décadas.
Con una puntuación de gravedad de 4.3, el problema puede causar fallos en el sistema o ser explotado para ataques de ejecución remota de código (RCE).
Afortunadamente, OpenSSL ya ha sido actualizado para corregir esta falla crítica, pero el descubrimiento refuerza la alerta sobre los riesgos que pueden estar ocultos en proyectos ampliamente utilizados.
Google atribuye el éxito a los avances significativos en el uso de modelos de lenguaje (LLMs). La IA ahora puede crear solicitudes más relevantes y simular acciones complejas de desarrolladores, lo que permite la automatización de partes del proceso de fuzzing antes consideradas imposibles.
Este es un hito para la seguridad digital, que promete proteger aún más el ecosistema de código abierto, pero también plantea nuevas preguntas sobre cómo manejar la responsabilidad y los desafíos éticos en la aplicación de estas tecnologías.