Las empresas de tecnología y los equipos de código abierto se enfrentan a una avalancha de vulnerabilidades de software descubiertas por la IA. Ahora estamos empezando a comprender cuán grande es este diluvio.
La Zero Day Initiative, el programa de recompensas por errores independiente del proveedor más grande del mundo, ya ha experimentado un aumento del 490 por ciento en las presentaciones este mes en comparación con abril del año pasado, según los datos proporcionados a Mashable. Y el mes aún no ha terminado.
“Las organizaciones que reciben informes de errores tienen dificultades para mantenerse al día con los procesos de clasificación y respuesta”, dijo a Mashable Dustin Childs, jefe de concientización sobre amenazas en Zero Day Initiative. “Algunos programas, particularmente el programa de recompensas por errores de Internet, cerraron sus puertas por completo en lugar de intentar continuar”.
27 de marzo, el Se anuncia el programa de recompensas por errores en Internet Está cerrando los envíos por completo debido a la crisis de envío de errores, que, según dice, está cambiando todo el “panorama” del descubrimiento de errores.
“La investigación asistida por IA está ampliando el descubrimiento de vulnerabilidades en todo el ecosistema, aumentando tanto la cobertura como la velocidad”, hackerunoEl grupo gestionó el programa, según un comunicado. “En consecuencia, estamos pausando las presentaciones mientras consideramos el marco y los incentivos necesarios para avanzar en estos objetivos”.
A medida que las herramientas de IA mejoran, encuentran vulnerabilidades más críticas que requieren parches. Y gracias a Anthropic y otras empresas de inteligencia artificial, es posible que el diluvio apenas esté comenzando.
Envíos de errores recibidos por Zero Day Initiative.
Crédito: Iniciativa Día Cero / TrendMicro
Efecto Claude
El antropólogo anunció recientemente Llegada de Claude Mythosfue una demanda Demasiado peligroso para su divulgación pública. Cloud Mythos ha “demostrado un salto impresionante en capacidades cibernéticas”, dijo la compañía, y es capaz de descubrir y explotar de forma autónoma las llamadas “vulnerabilidades de día cero” (el tipo de error más urgente, explotable por piratas informáticos) en todos los principales sistemas operativos.
Anthropic ha vendido Claude Mithos a una organización cerrada, alegando que quiere dar a los líderes tecnológicos la oportunidad de “proteger el software más crítico del mundo”. La compañía dijo que encontró demasiados errores para informarlos a la vez.
Los críticos han Descartarlo como un teatro de seguridad y un truco publicitario.; Anthropologie prometió que la nube revelaría todas las vulnerabilidades encontradas después del parche.
Atrapado dentro del 7 de abril Publicación de blog sobre Claude MythosAnthropologie incluye bastante flexibilidad. La compañía escribió que “menos del 1% de las vulnerabilidades potenciales que hemos descubierto hasta ahora han sido reparadas por completo por sus mantenedores”.
Porque cuando Anthropic encuentra nuevos errores de día cero, los clasifica y publica primero solo los errores de mayor gravedad. La empresa dice que hace esto para evitar inundar a otras empresas con una “cantidad incontrolable de trabajo nuevo”.
Es más, el antropólogo estima que se trata de una “pequeña fracción” de los insectos encontrados en los próximos meses. Para hacer frente al volumen, Anthropic dice que tuvo que contratar contratistas de seguridad para ayudar con el proceso de liberación.
El número y la gravedad de los errores está aumentando
Mitos anteriores a la nube, los investigadores de ciberseguridad advirtieron que las herramientas de inteligencia artificial condujeron a un aumento en los informes de errores, pero que los informes eran en general de muy baja calidad. Pero la intensidad de los informes de errores está aumentando nuevamente, lo que no ayuda a los desarrolladores.
Velocidad de la luz triturable
“No todos los envíos terminan siendo un error real, pero aun así tenemos que clasificarlos tal como están”, dijo Childs.
Daniel SteinbergUn experto sueco en codificación de código abierto y desarrollador líder de cURL, detuvo el programa de recompensas por errores de CURL en enero debido a la IA. Steinberg dijo recientemente que CURL recibió más informes de errores en 2025 que en los dos años anteriores combinados, y ese número se duplicará nuevamente en 2026.
“El objetivo principal de cerrar la recompensa es eliminar el incentivo para que las personas nos envíen informes de mala calidad y que no sean de investigación, generados por IA o no. El flujo actual de envíos supone una gran carga para el equipo de seguridad de curl y es un intento de reducir el ruido”, dijo. escribió en su blog.
Sin embargo, le dijo a Mashable que la última avalancha de informes de seguridad, de hecho, representa preocupaciones de seguridad reales, lo que contrasta marcadamente con la tendencia del año pasado. Steinberg escribió Este mes escuchó de más de 20 proyectos de código abierto “todos los cuales confirmaron esta tendencia: un mayor volumen de informes de seguridad de modesta alta calidad”.
Finalmente confirmó Actualizaciones en su blog. que tanto el volumen de nuevos informes de errores como la gravedad de esos errores aumentarán en 2026. “Las tasas de vulnerabilidad confirmadas volverán a los niveles anteriores a la IA en 2024 e incluso las superarán, es decir, en algún lugar en el rango del 15-16%”.
A Steinberg también le preocupa el impacto sobre los desarrolladores. “Sólo puedo imaginar que los proyectos que son todos voluntarios, con una base de código más grande que probablemente haya recibido menos escrutinio, tal vez porque son más jóvenes, pueden fácilmente atascarse en informes de calidad”, dice. “Debe ser una sobrecarga y tener un costo emocional para muchos encargados del mantenimiento”.
El Grupo Discord dijo que accedió a Claude Mythos estimando la ubicación.
Entonces, ¿está funcionando este cataclísmico efecto Claude Mythos de día cero?
Hasta que Anthropic Cloud complete los informes sobre los errores descubiertos por Mythos, es difícil saberlo con certeza, y ni Childs ni Stenberg dijeron que culpan específicamente a Mythos por el aumento.
De hecho, también hay indicios de que las empresas privadas están viendo un aumento en los errores descubiertos por la IA. Microsoft anunció 165 nuevos parches de errores Actualización de seguridad de abril. Childs señaló que fue el “segundo lanzamiento mensual más grande en la historia de Microsoft”, citando la IA como una posible razón de su crecimiento. Blog del martes de parches.
en una declaración RegistroMicrosoft ha negado que la IA fuera responsable de la actualización de seguridad fallida, al tiempo que atribuye un error a investigadores antropomórficos.
Cualquiera sea el motivo, la tendencia general de la industria es clara: un enorme aumento de errores potenciales y reales que requieren soluciones urgentes.
IA y ciberseguridad: lo que viene después
en Tarjeta del sistema Claude MythosAnthropic dice que las herramientas de inteligencia artificial brindarán más beneficios a los defensores de la ciberseguridad a largo plazo. sin embargo, Los piratas informáticos pueden beneficiarse a corto plazo.
Las herramientas de inteligencia artificial existentes “ya brindan una ‘ayuda significativa’ a los actores de amenazas relevantes en el sentido de aumentar su productividad general”, afirmó la compañía.
Es probable que la IA sea tanto el problema como la solución para los desarrolladores, que están recurriendo a la IA para clasificar los errores descubiertos por la IA.
“Comenzamos a utilizar IA para ayudar con el proceso de clasificación”, dice Childs. “Es la única manera de poder mantener este nivel de presentación”. Admitió que “muchas entradas son desperdicios de IA, pero compramos algunos de estos (informes) de errores solo para enseñar a nuestros modelos cómo se ve el desperdicio de IA para que podamos evitarlos en el futuro”.
Si la industria no se adapta a la nueva realidad, añadió Childs, los consumidores sufrirán las consecuencias.
“Tenemos que descubrir cómo escalar nuestras correcciones tan rápido como los investigadores (y los atacantes) escalan sus resultados”, dijo, de lo contrario “estas (correcciones) tendrán pocas posibilidades de aplicarse a tiempo” a menos que los usuarios quieran piratear.
sujeto
Ciberseguridad con Inteligencia Artificial
