Redazione RHC : 6 septiembre 2025 09:12
Los sistemas de inteligencia artificial han sido criticados por crear informes de vulnerabilidad confusos e inundar a los desarrolladores de código abierto con quejas irrelevantes. Pero investigadores de la Universidad de Nanjing y la Universidad de Sídney tienen un ejemplo de lo contrario: presentaron un agente llamado A2, capaz de encontrar y verificar vulnerabilidades en aplicaciones de Android, imitando el trabajo de un cazador de errores. El nuevo desarrollo es una continuación del proyecto A1 anterior, que logró explotar errores en contratos inteligentes. Los autores afirman que A2 logró una cobertura del 78,3 % en el conjunto de pruebas Ghera, superando al analizador estático APKHunt, que solo alcanzó el 30 %. Al ejecutarse en 169 APK reales, encontró 104 vulnerabilidades de día cero, 57 de las cuales fueron confirmadas por exploits funcionales generados automáticamente. Entre estas, un error de gravedad media en una aplicación con más de 10 millones de instalaciones. Este fue un problema de redirección intencional que permitió que el malware tomara el control.
La principal característica distintiva de A2 es el módulo de validación, que no estaba presente en su predecesor.
El antiguo sistema A1 utilizaba un esquema de verificación fijo que solo evaluaba la rentabilidad de un ataque. A2, en cambio, puede confirmar una vulnerabilidad paso a paso, desglosando el proceso en tareas específicas. Como ejemplo, los autores citan un escenario con una aplicación donde la clave AES estaba almacenada en texto plano. El agente primero encuentra la clave en el archivo strings.xml, luego la utiliza para generar un token falso de restablecimiento de contraseña y, finalmente, verifica que este token realmente omita la autenticación. Todos los pasos se acompañan de una verificación automática: desde la coincidencia de valores hasta la confirmación de la actividad de la aplicación y la visualización de la dirección deseada en la pantalla.
Para funcionar, A2 combina varios modelos de lenguaje comerciales: OpenAI o3, Gemini 2.5 Pro, Gemini 2.5 Flash y GPT-oss-120b. Se distribuyen según roles: el planificador desarrolla una estrategia de ataque, el ejecutor ejecuta las acciones y el validador confirma el resultado. Esta arquitectura, según los autores, replica la metodología humana, lo que les ha permitido reducir el ruido y aumentar el número de resultados confirmados. Los desarrolladores señalan que las herramientas de análisis tradicionales producen miles de señales insignificantes y muy pocas amenazas reales, mientras que su agente es capaz de demostrar inmediatamente la explotabilidad de una falla. Los investigadores también calcularon el coste del sistema. La detección de vulnerabilidades cuesta entre 0,0004 y 0,03 dólares por aplicación utilizando diferentes modelos, mientras que un ciclo completo con verificación cuesta un promedio de 1,77 dólares. Al mismo tiempo, utilizando solo Gemini 2.5 Pro, el coste aumenta a 8,94 dólares por fallo. A modo de comparación, el año pasado un equipo de la Universidad de Illinois demostró que GPT-4 crea un exploit a partir de la descripción de una vulnerabilidad por 8,80 dólares. Resulta que el coste de encontrar y confirmar fallos en aplicaciones móviles es comparable al de una vulnerabilidad de gravedad media en los programas de recompensas por errores, donde las recompensas se calculan en cientos y miles de dólares. Los expertos señalan que A2 ya supera a los analizadores de programas estáticos de Android, y A1 se acerca a los mejores resultados en contratos inteligentes.
Confían en que este enfoque puede agilizar y simplificar el trabajo tanto de investigadores como de hackers, ya que, en lugar de desarrollar herramientas complejas, simplemente invocan la API de modelos preentrenados. Sin embargo, persiste un problema: los cazarrecompensas pueden usar A2 para enriquecerse rápidamente, pero los programas de recompensas no cubren todos los errores. Esto deja lagunas para que los atacantes exploten directamente los errores encontrados.
Los autores del artículo creen que la industria apenas está comenzando a desarrollarse y que se espera un aumento repentino de la actividad de ataques tanto defensivos como ofensivos en un futuro próximo. Los representantes de la industria enfatizan que sistemas como A2 transforman la búsqueda de vulnerabilidades de alertas interminables a resultados confirmados, lo que reduce el número de falsos positivos y les permite centrarse en los riesgos reales.
Por ahora, el código fuente solo está disponible para investigadores con colaboraciones oficiales, para mantener un equilibrio entre la ciencia abierta y la difusión responsable.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
