Un hallazgo sin precedentes: la IA encuentra un zero-day en Linux
El veterano investigador de vulnerabilidades Sean Heelan, con sede en Londres, reveló que un modelo de lenguaje de última generación (LLM), en este caso OpenAI o3, logró identificar una vulnerabilidad zero-day explotable remotamente en el kernel de Linux, específicamente en el protocolo SMB (Server Message Block).
La vulnerabilidad, registrada como CVE-2025-37899, afecta el manejo del comando logoff en el subsistema KSMBD (SMB3 Kernel Server), provocando un "use-after-free", una condición que puede ser aprovechada por atacantes para ejecutar código malicioso.
La inteligencia artificial da un salto en el análisis de código
Heelan destacó en su blog que, con este hallazgo, los modelos de IA han mejorado notablemente su capacidad para razonar sobre código fuente. Sin embargo, subrayó que esta tecnología no reemplaza a los expertos en seguridad, sino que los potencia, aumentando su eficiencia y alcance.
“Los LLMs no sustituirán a los investigadores de vulnerabilidades, pero ya están en un punto donde pueden hacerlos mucho más eficientes”, afirmó Heelan.
Así fue como lo logró: guía, contexto y razonamiento
El investigador ya había descubierto una vulnerabilidad similar (CVE-2025-37778), y decidió usar ese conocimiento para probar el rendimiento de o3 como motor de un sistema hipotético de detección automatizada de vulnerabilidades.
Debido a las limitaciones en la ventana de contexto de los LLMs (hasta 100.000 tokens, equivalentes a unas 12.000 líneas de código), Heelan diseñó un sistema que describía claramente el objetivo de análisis y guiaba al modelo.
Con esa configuración, o3 logró identificar correctamente la vulnerabilidad en 8 de 100 ejecuciones, razonando incluso sobre condiciones de concurrencia entre conexiones al servidor.
“Es la primera vez, que yo sepa, que se publica una vulnerabilidad de este tipo encontrada por un modelo de lenguaje”, escribió Heelan.
Limitaciones actuales y resultados del experimento
Heelan corrió el experimento 100 veces, con los siguientes resultados:
| Resultado | Cantidad de ejecuciones |
|---|---|
| Vulnerabilidad detectada | 8 |
| Sin detección de fallos | 66 |
| Falsos positivos | 23 |
👉 Costo total del experimento: 116 USD.
Comparativamente, modelos como Claude Sonnet 3.7 (Anthropic) solo detectaron la falla en 3 de 100 ejecuciones, y Claude 3.5 no la encontró en absoluto.
La solución propuesta por la IA no siempre es correcta
En algunos casos, o3 propuso correcciones viables, pero también generó soluciones erróneas, como una que fue descartada por permitir conexiones múltiples a la misma sesión sin forma de bloquear ataques. Esto revela que la remediación automática aún no es completamente confiable.
“El modelo propuso una solución que yo mismo sugerí inicialmente, pero que más tarde comprobé que no funcionaba. Aun así, su razonamiento fue impresionante”, explicó Heelan.
Impacto en la industria: más código, más IA, más responsabilidad
En la conferencia RSAC en San Francisco, Chris Wysopal (Veracode) mencionó que los desarrolladores que usan herramientas con IA producen hasta un 50% más de código, aunque este código mantiene la misma tasa de vulnerabilidades que el generado manualmente.
Por ello, la solución irónica parece ser: usar más IA para detectar y corregir errores generados por IA.
El futuro: sistemas bien diseñados, más que modelos inteligentes
Según Daniel Miessler, investigador de IA y ciberseguridad, el verdadero potencial no está solo en la inteligencia de los modelos, sino en cómo se estructuran los sistemas que los guían:
“Cuanto más contexto y estructura tenga un modelo, menos inteligente necesita ser. Lo importante es que entienda el proceso, el entorno y el objetivo del investigador de seguridad.”
La IA se convierte en aliada de la ciberseguridad avanzada
Este caso marca un hito: por primera vez, un modelo de lenguaje encontró una vulnerabilidad grave en el núcleo de Linux, con razonamiento sofisticado y sin intervención humana directa en el análisis. Aunque la IA aún comete errores y requiere orientación experta, se posiciona como una herramienta fundamental para investigadores y equipos de respuesta a incidentes.
Fuente: somoslibres
