La IA detecta errores en minutos. Demostrar que son reales sigue requiriendo un humano.
Los equipos de seguridad se ven inundados de informes de vulnerabilidades generados por IA que lucen convincentes pero se desmoronan en el momento en que alguien intenta reproducirlos. La vieja regla sigue vigente: demuestra tu trabajo o descártalo.

Puntos clave
- Las herramientas de seguridad asistidas por IA pueden escanear una base de código completa en minutos, una tarea que antes requería una semana de trabajo de un analista experto.
- Las plataformas de recompensas por hallazgo de errores, que pagan recompensas en efectivo a investigadores que encuentran vulnerabilidades reales, reportan un aumento en informes generados por IA que resultan ser fabricaciones.
- El mantenedor del proyecto de código abierto curl ha descrito públicamente verse abrumado por informes de errores pulidos que no resisten las pruebas.
- Un hallazgo de seguridad válido requiere una demostración funcional, no solo una descripción escrita, y eso siempre ha sido así.
- Los pequeños empresarios que reciben correos electrónicos no solicitados sobre "fallos críticos" deben pedir una demostración en vivo en una cuenta de prueba antes de tomar medidas.
Según informó por primera vez ThreatVectr, el mundo de la investigación de seguridad se enfrenta a un problema simple: las herramientas de IA son muy buenas aparentando confianza, y la confianza no es lo mismo que estar en lo correcto.
Así es como se ve el nuevo flujo de trabajo. Un investigador de seguridad abre una herramienta asistida por IA, que utiliza un modelo de lenguaje de gran tamaño (el mismo tipo de tecnología que impulsa chatbots como ChatGPT) para leer código de software. La herramienta resume lo que hace el programa, marca funciones que se ven sospechosas e incluso redacta ataques de muestra, llamados cargas útiles, que el investigador puede probar contra un sistema en vivo. Lo que solía tomar días ahora toma una tarde.
Esa velocidad es genuinamente útil. Nadie lo discute.
El problema es lo que sucede después. Un modelo de lenguaje de gran tamaño no sabe cuándo está adivinando. Describirá una vulnerabilidad con lenguaje técnico y confiado, inventará un nombre de función que no existe en el código real y propondrá un ataque que nunca ha sido probado en un sistema real. Cada uno de esos informes termina en la bandeja de entrada de alguien.
¿Cuál es el costo para la gente real?
Cuesta tiempo, que es lo que menos tienen los equipos de seguridad. Cada informe falso debe ser clasificado, lo que significa que un analista humano debe sentarse, leerlo cuidadosamente, intentar reproducir la vulnerabilidad descrita y luego responder explicando por qué no existe. Multiplica eso por cientos de presentaciones generadas por IA cada semana y habrás agotado el mismo recurso que intentabas proteger.
Los voluntarios que mantienen software de código abierto popular, herramientas que millones de personas y empresas usan todos los días, sienten esto con mayor intensidad. El mantenedor de curl, una herramienta ampliamente utilizada para transferencia de datos, ha declarado públicamente que las alucinaciones generadas por IA (fabricaciones que un modelo produce con total confianza) están consumiendo el tiempo disponible para trabajo real.
Las plataformas de recompensas por hallazgo de errores reportan el mismo patrón. Paga a los investigadores por hallazgos reales y de repente hay una razón financiera para inundar la cola con suposiciones redactadas por IA.
El estándar que realmente importa no ha cambiado. Un hallazgo válido significa una demostración funcional: pasos exactos, versión exacta del software e idealmente una prueba de concepto, un fragmento corto de código o una secuencia de entrada específica que desencadene de manera confiable la vulnerabilidad. La prosa sin prueba es solo una suposición con bata de laboratorio.
La única conclusión honesta: si alguien le envía un correo electrónico a tu empresa afirmando que encontró una vulnerabilidad crítica en tu sitio web, pídele que la demuestre en un entorno de prueba. Los investigadores legítimos esperan esa solicitud. Las personas que buscan un pago rápido rara vez cumplen.



