Crean un sistema de IA que detecta exactamente dónde y cómo puede ser atacado un programa

El proyecto, presentado en la ACM International Conference on the Foundations of Software Engineering en Montreal, usa la misma tecnología subyacente de una inteligencia artificial ya establecida para identificar y demostrar vulnerabilidades concretas

Guardar
Google icon
Un monitor de computadora muestra código resaltado en verde y rojo, junto a un triángulo de advertencia azul, un triángulo rojo con AERT, un ícono de wifi y líneas de datos.
Un equipo de Wake Forest University y Virginia Tech desarrolló una IA basada en grandes modelos de lenguaje para generar pruebas prácticas de explotación de vulnerabilidades en software (Imagen Ilustrativa Infobae)

Ying Zhang, profesora asistente en Wake Forest University, y sus antiguas directoras doctorales en Virginia Tech —la profesora asociada Na Meng y la profesora Danfeng Yao— desarrollaron un sistema basado en grandes modelos de lenguaje para generar automáticamente demostraciones de cómo un atacante real podría explotar vulnerabilidades conocidas en software. El objetivo del proyecto es que los desarrolladores vean el riesgo en concreto y lo corrijan antes de que lo descubran actores maliciosos, informó el portal de divulgación científica TechXplore.

El sistema produce lo que los investigadores denominan “proof-of-concept exploits”: secuencias paso a paso que muestran exactamente cómo se explota una falla. En las pruebas, el sistema generó esas demostraciones con un alto nivel de fiabilidad, un avance sobre un problema que durante años resistió soluciones automáticas.

PUBLICIDAD

El trabajo, presentado en Montreal, Canadá, en la ACM International Conference on the Foundations of Software Engineering, parte de una realidad que atraviesa el uso cotidiano de la tecnología: las vulnerabilidades del software suelen estar ocultas en interfaces de programación de aplicaciones —conocidas como APIs—, que conectan distintos programas y permiten el intercambio de datos cuando una persona usa una aplicación, compra en línea o interactúa con un servicio digital.

“Se puede ver una API como un canal de comunicación entre dos piezas de software”, explicó Zhang. “Si la API acepta entradas maliciosas o inesperadas sin realizar la validación adecuada y los controles de seguridad, los atacantes pueden aprovechar esas debilidades para activar vulnerabilidades, comprometer sistemas o llevar a cabo ciberataques exitosos”.

PUBLICIDAD

Primer plano de una pantalla de computadora negra que muestra líneas de código blanco, diagramas de flujo y múltiples símbolos de advertencia y candados rojos/naranjas.
La segunda línea de investigación apunta a la cadena de suministro de software e identifica qué APIs vulnerables exponen a aplicaciones con dependencias de terceros (Imagen Ilustrativa Infobae)

Por qué mostrar el ataque obliga a actuar

El equipo partió de un problema humano además de técnico: los desarrolladores suelen priorizar que el programa funcione y relegan la seguridad. “La mayor parte del tiempo, la seguridad es tratada como una ciudadana de segunda clase”, dijo Meng. “Los desarrolladores suelen priorizar la funcionalidad por encima de la seguridad, especialmente cuando los riesgos no son visibles de inmediato”.

Sobre esa brecha, el equipo desarrolló una herramienta basada en grandes modelos de lenguaje, la misma tecnología subyacente en sistemas como ChatGPT, para producir de forma automática pruebas prácticas de explotación. La lógica, según los investigadores, es que una advertencia abstracta puede ignorarse, mientras que una demostración concreta de cómo se vulnera un sistema obliga a reaccionar. “Si los desarrolladores necesitan una motivación fuerte, dicen: ‘Muéstrame la explotación’”, afirmó Zhang. “Entonces harán los cambios”.

La meta del proyecto, subrayó la investigadora, es defensiva: ayudar a que los equipos de software entiendan el riesgo y lo resuelvan antes de que lo descubran actores maliciosos. De acuerdo con el portal, OpenAI mostró interés en el trabajo, una primera señal de que la propuesta ya atrae atención fuera del ámbito estrictamente académico.

Red de bloques de software conectados por líneas luminosas, con un bloque central rojo y varios bloques amarillos con la palabra ALERT y signos de advertencia.
La segunda línea de investigación apunta a la cadena de suministro de software e identifica qué APIs vulnerables exponen a aplicaciones con dependencias de terceros (Imagen Ilustrativa Infobae)

La investigación apunta a la cadena de suministro

Una segunda línea del trabajo se concentra en la cadena de suministro de software: la red de dependencias que conecta aplicaciones modernas construidas por capas con bibliotecas de terceros y código externo. En ese entorno, una falla profunda en un nivel puede propagarse hacia arriba y exponer sistemas cuyos desarrolladores ni siquiera saben que están en riesgo.

Para ese problema, el equipo desarrolló herramientas automáticas capaces de identificar qué APIs concretas dentro de un programa son vulnerables. Esa información suele estar ausente o incompleta, lo que deja a los desarrolladores sin una referencia clara sobre dónde concentrar sus esfuerzos de seguridad. “Es difícil para los desarrolladores realizar inspecciones de código o localizar vulnerabilidades sin esa información”, señaló Zhang. “Por eso tratamos de derivarla de manera automática”.

La precisión es el punto clave de esa línea de investigación. Saber que existe una falla en alguna parte del sistema ofrece mucho menos valor que saber exactamente dónde está y qué condiciones permitirían explotarla.

PUBLICIDAD

PUBLICIDAD