Las infracciones de día cero representan uno de los desafíos más abrumadores en ciberseguridad. Estas vulnerabilidades, desconocidas para los editores y, por lo tanto, sin parches, ofrecen a los atacantes la oportunidad de infiltrarse en los sistemas antes de que se implementen parches y medidas defensivas. ¿Qué pasaría si la IA pudiera ayudar a los desarrolladores a detectarlos antes de que los ciberatacantes se apoderen de ellos?
Sabemos que la IA, a través de modelos LLM, está resultando cada vez más útil para codificar y para ayudar a los desarrolladores no solo a escribir líneas de código, sino también a encontrar posibles errores.
¿Qué pasaría si la IA también pudiera entrenarse y usarse para detectar automáticamente fallas de día cero en códigos existentes? Ésta es la pregunta que el equipo de Big Sleep de Google, en colaboración con Google DeepMind, quería responder. En un informe científico, acaba de demostrar todo el potencial de la IA en este ámbito al descubrir una nueva vulnerabilidad en SQLite, una base de datos de código abierto muy utilizada.
Como resultado de la evolución del proyecto Naptime, el equipo de Big Sleep ha desarrollado un agente de IA capaz de ayudar a los investigadores de seguridad a detectar vulnerabilidades. En octubre pasado, este agente identificó una vulnerabilidad de seguridad explotable en SQLite, que involucraba un desbordamiento insuficiente del búfer de pila. Este descubrimiento es tanto más notable cuanto que se realizó antes de la publicación oficial del código afectado, evitando así cualquier impacto en los usuarios.
Metodología y enfoque de la IA
El éxito del agente Big Sleep depende del uso de modelos de lenguaje grandes (LLM) para analizar el código fuente e identificar patrones que pueden contener vulnerabilidades. En lugar de buscar vulnerabilidades al azar, el agente se centra en analizar variantes de vulnerabilidades ya conocidas, un método llamado “análisis de variantes”. Al proporcionar información sobre parches o cambios de código recientes, el agente puede apuntar a áreas que pueden contener vulnerabilidades similares que aún no han sido parcheadas.
Este enfoque es muy eficaz para detectar vulnerabilidades que las técnicas tradicionales, como la fuzzing, no siempre logran identificar. Como recordatorio, el fuzzing consiste en inyectar datos aleatorios para provocar errores. El problema con este enfoque es que carece de sutileza y, por tanto, pasa por alto muchas vulnerabilidades. La IA, por otro lado, puede analizar código con una profunda comprensión contextual, detectando vulnerabilidades que son difíciles de detectar por medios convencionales.
Impacto y perspectivas
En otras palabras, la IA está preparada para cambiar las reglas del juego en la lucha contra las vulnerabilidades del software y los fallos de día cero. Al identificarlos incluso antes de que se publique el código, los defensores obtienen una ventaja sobre los atacantes, invirtiendo la dinámica habitual. Suponiendo, por supuesto, que esta IA sea utilizada antes de cualquier implementación y por “chicos buenos”, porque también podría permitir a los ciberatacantes analizar todos los códigos fuente abiertos actuales para encontrar fallas de Día Cero. Por lo tanto, es poco probable que Big Sleep esté disponible para todos en un futuro próximo.
Por supuesto, Big Sleep es por el momento sólo un proyecto experimental. Pero allana el camino para un mayor uso de la IA para fortalecer la seguridad del software en un momento en el que los CISO y CIO están hartos del crecimiento exponencial de las vulnerabilidades del software, lo que hace que la gestión de parches sea cada día más inmanejable y multiplica las rutas de entrada a los sistemas de información. .
