El cazador de errores con IA de Google, Big Sleep, desarrollado por Deepmind y Project Zero, ha identificado 20 vulnerabilidades de seguridad en el software de código abierto, marcando sus informes públicos iniciales de fallas.
Hoy, como parte de nuestro compromiso con la transparencia en este espacio, estamos orgullosos de anunciar que hemos informado las primeras 20 vulnerabilidades descubiertas utilizando nuestra IA basada en nuestra IA. "Mucho sueño" sistema alimentado por Géminis – https://t.co/0sgplazqaq
– Heather Adkins – ꜻ – SPES Consilium no EST (@argvee) 4 de agosto de 2025
Heather Adkins, vicepresidenta de seguridad de Google, reveló el lunes que Big Sleep, una investigadora de vulnerabilidad con sede en LLM, detectó estos defectos en varias aplicaciones populares de software de código abierto. Las vulnerabilidades identificadas impactan principalmente sistemas como FFMPEG, una biblioteca de audio y videos, e ImageMagick, una suite de edición de imágenes. Los detalles sobre el impacto o la gravedad específicos de estas vulnerabilidades no se han publicado debido al protocolo estándar de información de retención de Google hasta que se implementen las soluciones.
Kimberly Samra, una portavoz de Google, aclaró el proceso involucrado en estos descubrimientos. Samra declaró: «Para garantizar informes de alta calidad y procesables, tenemos un experto humano en el bucle antes de informar, pero cada vulnerabilidad fue encontrada y reproducida por el agente de IA sin intervención humana». Este procedimiento confirma que, si bien se produce la verificación humana, el agente de IA realiza de forma autónoma la detección y reproducción inicial de la vulnerabilidad.
Royal Hansen, vicepresidente de ingeniería de Google, caracterizó estos hallazgos como demostrando «una nueva frontera en el descubrimiento de vulnerabilidades automatizados» en una publicación sobre X. Big Sleep no es la única herramienta de LLM diseñada para la detección de vulnerabilidad; Otros ejemplos notables incluyen RunSybil y Xbow.
Xbow ha llamado la atención por alcanzar la posición superior en una tabla de clasificación estadounidense dentro de la plataforma de recompensa de errores Hackerone. Similar a Big Sleep, muchos de estos cazadores de errores con IA incorporan un paso de verificación humana para confirmar la legitimidad de las vulnerabilidades detectadas. Vlad Ionescu, cofundador y director de tecnología de Runsybil, una startup especializada en cazadores de insectos con IA, describió el gran sueño como un proyecto «legítimo». Atribuyó esta evaluación a su «buen diseño, las personas detrás de él saben lo que están haciendo, Project Zero tiene la experiencia de búsqueda de errores y DeepMind tiene la potencia de fuego y las fichas para lanzarlo».
Si bien el potencial de estas herramientas de IA para identificar fallas de seguridad es evidente, también hay inconvenientes notables. Varios mantenedores de varios proyectos de software han informado que recibieron informes de errores que luego se identifican como alucinaciones, lo que provocó paralelos a «AI Slop» en el contexto de las recompensas de errores. Ionescu comentó previamente sobre este tema, diciendo: «Ese es el problema con el que la gente se encuentra, es que estamos obteniendo muchas cosas que parecen oro, pero en realidad es solo una mierda».
