Un equipo de investigadoras estadounidenses ha desarrollado un sistema de inteligencia artificial que genera automáticamente demostraciones de cómo un atacante real podría aprovechar vulnerabilidades conocidas en programas informáticos. La iniciativa busca que los desarrolladores comprendan el riesgo concreto y lo solucionen antes de que actores maliciosos lo descubran, según informó el portal de divulgación científica TechXplore.
La profesora asistente Ying Zhang, de Wake Forest University, junto con sus antiguas directoras doctorales en Virginia Tech —la profesora asociada Na Meng y la profesora Danfeng Yao— crearon esta herramienta basada en grandes modelos de lenguaje. El sistema produce lo que los investigadores denominan “proof-of-concept exploits”, es decir, secuencias paso a paso que muestran exactamente cómo se explota una falla. En las pruebas realizadas, el sistema generó esas demostraciones con un alto nivel de fiabilidad, un avance significativo sobre un problema que durante años resistió soluciones automáticas.
El trabajo fue presentado en Montreal, Canadá, durante la ACM International Conference on the Foundations of Software Engineering. La investigación parte de una realidad que atraviesa el uso cotidiano de la tecnología: las vulnerabilidades del software suelen estar ocultas en interfaces de programación de aplicaciones, conocidas como APIs, que conectan distintos programas y permiten el intercambio de datos cuando una persona usa una aplicación, compra en línea o interactúa con un servicio digital.
“Se puede ver una API como un canal de comunicación entre dos piezas de software”, explicó Zhang. “Si la API acepta entradas maliciosas o inesperadas sin realizar la validación adecuada y los controles de seguridad, los atacantes pueden aprovechar esas debilidades para activar vulnerabilidades, comprometer sistemas o llevar a cabo ciberataques exitosos”.

Por qué mostrar el ataque obliga a actuar
El equipo partió de un problema humano además del técnico: los desarrolladores suelen priorizar que el programa funcione y relegan la seguridad. “La mayor parte del tiempo, la seguridad es tratada como una ciudadana de segunda clase”, dijo Meng. “Los desarrolladores suelen priorizar la funcionalidad por encima de la seguridad, especialmente cuando los riesgos no son visibles de inmediato”.
Sobre esa brecha, el equipo desarrolló una herramienta basada en grandes modelos de lenguaje, la misma tecnología subyacente en sistemas como ChatGPT, para producir de forma automática pruebas prácticas de explotación. La lógica, según los investigadores, es que una advertencia abstracta puede ignorarse, mientras que una demostración concreta de cómo se vulnera un sistema obliga a reaccionar. “Si los desarrolladores necesitan una motivación fuerte, dicen: ‘Muéstrame la explotación’”, afirmó Zhang. “Entonces harán los cambios”.
La meta del proyecto, subrayó la investigadora, es defensiva: ayudar a que los equipos de software entiendan el riesgo y lo resuelvan antes de que lo descubran actores maliciosos. De acuerdo con el portal, OpenAI mostró interés en el trabajo, una primera señal de que la propuesta ya atrae atención fuera del ámbito estrictamente académico.

La investigación apunta a la cadena de suministro
Una segunda línea del trabajo se concentra en la cadena de suministro de software: la red de dependencias que conecta aplicaciones modernas construidas por capas con bibliotecas de terceros y código externo. En ese entorno, una falla profunda en un nivel puede propagarse hacia arriba y exponer sistemas cuyos desarrolladores ni siquiera saben que están en riesgo.
Para ese problema, el equipo desarrolló herramientas automáticas capaces de identificar qué APIs concretas dentro de un programa son vulnerables. Esa información suele estar ausente o incompleta, lo que deja a los desarrolladores sin una referencia clara sobre dónde concentrar sus esfuerzos de seguridad. “Es difícil para los desarrolladores realizar inspecciones de código o localizar vulnerabilidades sin esa información”, señaló Zhang. “Por eso tratamos de derivarla de manera automática”.
La precisión es el punto clave de esa línea de investigación. Saber que existe una falla en alguna parte del sistema ofrece mucho menos valor que saber exactamente dónde está y qué condiciones permitirían explotarla.
Fuente: Infobae