Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Banner Ransomfeed 320x100 1
LECS 970x120 1
SQLite, Nginx y Apache colapsaron en un día. ¿Revolucionarán los hackers y los agentes de IA la búsqueda de errores?

SQLite, Nginx y Apache colapsaron en un día. ¿Revolucionarán los hackers y los agentes de IA la búsqueda de errores?

Redazione RHC : 17 agosto 2025 18:27

Desarrollar agentes de IA capaces de identificar vulnerabilidades en sistemas complejos sigue siendo una tarea desafiante que requiere mucho trabajo manual. Sin embargo, estos agentes ofrecen una gran ventaja: a diferencia de los métodos tradicionales como el fuzzing o las comprobaciones formales, su trabajo puede leerse literalmente desde los registros. Esto permite a los investigadores comprender mejor las fortalezas y debilidades de los modelos LLM modernos. Los autores del experimento recopilaron más de cien gigabytes de estos registros y seleccionaron varios casos ilustrativos.

El primer objeto de prueba fue SQLite, un SGBD ligero y muy popular basado en C, utilizado en navegadores, sistemas operativos móviles, automóviles, aviones e incluso en el propio motor CRS. Durante la fase práctica de la competición AIxCC, los agentes encontraron no solo vulnerabilidades diseñadas específicamente, sino también errores reales.

Entre estos, los desarrolladores corrigieron dos errores graves el 5 de agosto. Uno de ellos resultó ser un desbordamiento de búfer clásico en la extensión zip, que está habilitada por defecto. El error permitía superar los límites de memoria al trabajar con archivos comprimidos y es casi imposible de detectar mediante fuzzing aleatorio. Otro error en el mismo código provocaba la lectura innecesaria de datos al abrir un archivo zip dañado.

La atención se centró entonces en FreeRDP, una implementación gratuita del Protocolo de Escritorio Remoto. Además de problemas adicionales, como una «puerta trasera» ofuscada, los agentes identificaron una vulnerabilidad real: un desbordamiento de enteros con signo al procesar la información del monitor del cliente. Curiosamente, ni siquiera muchas horas de fuzzing con libfuzzer solucionaron este error, pero una entrada de IA bien generada logró reproducirlo.

Se han realizado experimentos similares con otros proyectos populares: Nginx, Apache Tika y Apache Tomcat. Los registros muestran cómo el sistema de IA intenta realizar correcciones, encuentra ambigüedades en los parches y finalmente logra solucionarlos, a veces invirtiendo decenas de minutos y varios dólares en recursos informáticos. En algunos casos, los agentes encontraron métodos de explotación inusuales: por ejemplo, si no podían eludir la protección al trabajar con un archivo zip, cambiaban a archivos tar.

Los autores enfatizan que estos experimentos son útiles no solo para identificar errores, sino también para configurar los propios agentes, sus herramientas y la distribución de roles entre ellos. Si bien no todos los errores encontrados son críticos, la práctica demuestra que los sistemas LLM son capaces de detectar y reproducir vulnerabilidades que escapan a los métodos clásicos. Y aunque este proceso aún está lejos de estar completamente automatizado, ya ofrece a los investigadores una perspectiva completamente nueva sobre la seguridad del software conocido.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
¡Sin carne ni huesos, solo código! Llega el primer presentador de IA de Channel 4.
Di Redazione RHC - 24/10/2025

El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...

Immagine del sito
Rusia y el cibercrimen: un equilibrio entre la represión selectiva y el interés estatal
Di Ada Spinelli - 24/10/2025

El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...

Immagine del sito
Hackean la web de la FIA: datos personales de Max Verstappen y más de 7.000 pilotos expuestos
Di Redazione RHC - 24/10/2025

Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...

Immagine del sito
Inteligencia Artificial General (AGI): se ha definido el primer estándar global para medirla
Di Redazione RHC - 23/10/2025

El 21 de octubre de 2025, un equipo internacional de investigadores de 29 instituciones líderes, incluidas la Universidad de Stanford, el MIT y la Universidad de California en Berkeley, completó un ...

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...