Tecnología, Internet y juegos
106 meneos
720 clics
La IA ya está aprendiendo a encontrar fallos en el software: Claude acaba de demostrarlo con Firefox

La IA ya está aprendiendo a encontrar fallos en el software: Claude acaba de demostrarlo con Firefox

Durante años, encontrar vulnerabilidades graves en software complejo ha sido una tarea reservada a investigadores especializados que dedican semanas o meses a examinar millones de líneas de código. Ese escenario empieza a cambiar. Los modelos de inteligencia artificial ya no se limitan a generar código o ayudar a depurarlo, también están empezando a detectar fallos de seguridad por sí mismos. El experimento resulta especialmente llamativo porque Firefox es uno de los proyectos de código abierto más auditados del ecosistema web.

| etiquetas: ia , aprendiendo , encontrar , fallos , software , claude , firefox
51 55 3 K 433
43 comentarios
51 55 3 K 433
Comentarios destacados:          
HeilHynkel #1 HeilHynkel
El problema es que la IA es como Homer Simpson.

- Desde que Homer es directivo los accidentes han descendido un 95%
- Lógico ... los provocaba él.

Es una herramienta cojonuda en buenas manos ... pero aquí quieren dejar la herramienta y quitar las manos.
28 K 233
ed25519 #3 ed25519
#1 es el sindrome del bombero piromano :-)
0 K 9
#5 rafacabrera
#1 eso ya lo cantaba Luis Aguilé en los años 70, “había un peligro en la carretera, no me importaba porque era yo”.
6 K 50
tommyx #16 tommyx
#1 eso quiere decir que la AI generaba las vulnerabilidades? :troll:
1 K 16
troll_hdlgp #21 troll_hdlgp
#16 ¿Conoces el Vibe Coding? :troll: :troll:
1 K 20
tommyx #26 tommyx
#21 si, curiosamente lo hacía antes de la AI copiando y pegando trozos de código que encontraba por la web :-D
Lo que ahora todo suena más cool :troll:
3 K 34
HeilHynkel #38 HeilHynkel
#16

Buena parte de las futuras, seguro.
0 K 15
Mistwatch #20 Mistwatch
#1 La metáfora del martillo, que tanto sirve para construirte una casita como para abrirle la cabeza al camarero por servirte una Cruzcampo. :troll:
0 K 10
#9 walk_kindly_shout *
Este artículo es un enorme montón de nada. De 122 informes de Claude, 2 los pudo convertir en exploits de verdad, y eso "en un entorno de pruebas simplificado, sin algunas de las defensas presentes en un navegador real".

Osea, nada de nada.
11 K 72
pip #8 pip
Pero si esto está muy bien. Al chorro de analizadores estáticos y runtime que usamos le sumamos la IA que le eche también un vistazo. Cuantos más ojos mejor.

El único punto negativo de esto es si alguien cree que por auditar con la IA puede prescindir del resto de análisis deterministas y de la revisión humana. Eso es una fantasía.
4 K 44
troll_hdlgp #23 troll_hdlgp
#11 Los desarrolladores no se "han acostumbrado" mas bien han sufrido al tener que sacar versiones beta por culpa de los directivos. ¿Sabes la de veces que la opinión del directivo pesa mucho mas que la del equipo de desarrollo? Prácticamente el 90% ¿Estas funcionalidades necesitan 6 meses de desarrollo? Me da igual, hay que sacarlo en 2 meses si o si. ¿Qué el juego no esta listo para navidades? Da igual saca lo que sea y ya iremos sacando parches que vayan arreglando. ¿Tiempo para optimizar? Pero si hoy en día los ordenadores tienen recursos de sobra y así a miles...
3 K 30
#24 nacho_lobez
#23 Si bueno, con desarrollador no me refería a la persona que hace el desarrollo sino a las empresas de desarrollo.
0 K 10
troll_hdlgp #30 troll_hdlgp
#24 Es que si usas la palabra "desarrollador" sin querer das a entender que es técnico el que mete esas chapuzas, cuando realmente es el directivo que no ha picado código en su vida y que no va a sufrir la sobrecarga de trabajo el que ha tomado la decisión. Creo que el termino "empresas de software" encajaría mejor y dejaría mas claro que no es una decisión técnica sino comercial.
0 K 10
josde #2 josde
Todo el software tiene fallos, por eso se actualizan frecuentemente, no es una novedad de la IA encontrarlos.
0 K 20
#11 nacho_lobez
#2 La calidad del software ha caído en picado en los últimos 25 años. Los desarrolladores se han acostumbrado a sacar versiones beta para luego ir arreglandolas.

Habrá que ver en qué condiciones de dejadez se dejan los desarrollos de ahora en adelante con estas nuevas herramientas.
1 K 18
tommyx #17 tommyx
#11 te doy la razon, todo es una rolling beta
0 K 8
#18 chavi
#11 Y con la IA caerá mucho mucho más
0 K 11
rojo_separatista #31 rojo_separatista
#11, #18, la IA no se cansa, no tiene pereza, no se frustra y además no para de mejorar día a día, creedme, no seáis tan pesimistas, con la IA a la larga la calidad del software mejorará, tanto en eficiencia como en fiabilidad.... Ay no joder, que el sistema de mierda en el que vivimos, es tan asqueroso, que el hecho que aparezca una tecnología que haga las cosas mejor es una mala noticia. Me pregunto en qué momento la gente interiorizó tanto la mentalidad de esclavo que esto le dejó de chirriar no siquiera un poco, nadie lo discute, parece que todo el mundo solo suspira para que sus explotadores no les dejen de necesitar.
1 K 14
pawer13 #35 pawer13
#31 la IA llegará a ser una herramienta muy potente para muchas cosas, pero hay varios proyectos open source que reciben tantas PRs para solucionar bugs que son falsos positivos que han acabado no aceptando PRs de gente ajena al proyecto porque alguien tiene que revisar cada una de esas propuestas.
Sí, la IA genera código a mucha velocidad y la calidad no para de subir, pero el cuello de botella muchas veces no es el generar código, es validarlo o directamente planearlo (definir la nueva…   » ver todo el comentario
1 K 17
#40 chavi
#35 La solución que se va a imponer, no lo dudes, es pasar a producción código validado solo con IA.

Un desastre. Quebrarán compañías. Al tiempo
0 K 11
#41 chavi
#31 Dificil que IA que alucinan haciendo verdaderas barbaridades lleguen a hacer código de calidad más allá de la simple apariencia
0 K 11
#43 angat
#41 El tema es que la IA también hace verdaderas barbaridades...en el buen sentido (si está en buenas manos). Yo con Claude he hecho tareas estimadas en 10h en los 10 minutos que me ha llevado definir un buen prompt.

Tenemos los dos extremos...esperemos que gane el bueno
0 K 9
#19 chavi
Como de constumbre
0 K 11
#42 solojavi
Ahora que prueben con el código fuente de Chrome, Edge o Safari. Pongo el parche antes del pinchazo, he escrito Chrome y no Chromium (éste último es de código abierto).
0 K 9
taranganas #7 taranganas *
Una vez que se sabe esto, ¿lo aprovecharán los malos para hacer cosas malas?
0 K 9
Cidwel #12 Cidwel *
#7 mi prompt hoy ha sido:

- Crea un informe de seguridad y soluciona los problemas que veas

y en otra sesión

- Busca cómo penetrar en la app. Crea apps para intentar reventarla, analizar qué versiones tiene, y busca fallos reportados en esas versiones, y crea herramientas para aprovecharte de esos exploits. Crea un informe con todo lo que has visto

Así que sí, se puede usar para el mal, pero creo que, inequívocamente, a poco que la gente aprenda a utilizar estas herramientas, el software va a ser mucho más fiable. Porque aunque nos creamos super inteligentes todos luego va indra y te monta un endpoint donde puedes ver datos de otros usuarios cambiando un numerito en una URL.
2 K 27
pip #13 pip
#7 Todas las herramientas de auditoría de seguridad se usan en ambos bandos, es una carrera armamentística que nunca termina y esta herramienta de análisis estadístico no es una excepción.
0 K 10
taSanás #15 taSanás
#7 siempre, es ley de vida
0 K 8
#34 cnr
#7 Sin duda. Deberíamos prescindir de todo lo que los malos puedan aprovechar para hacer cosas malas.
0 K 6
#36 jaramero
hace falta gente que sepa para entrenar un modelo así debidamente.

Esto es una demo jugable para timar a inversores y dar carnaza a webs tecnocuñadas.

Es como si monto una red de equipos con sw en distintas versiones y lo ataco basándome en las vulnerabilidades solucionadas con parches que no he aplicado.
0 K 7
maspipinobreve #4 maspipinobreve
Pues hace unos días que Firefox va mal, los enlaces no responden hasta que no recargas la pagina. O igual es problema de W11, que lleva dos actualizaciones en pocos días.
0 K 7
DaniTC #6 DaniTC
#4 y las últimas actualizaciones de Windows han sido una liada para muchos usuarios.

Dicen que el código sale mejor, pero cuidado que debe ser revisado.
0 K 10
luxaaar #10 luxaaar
#4 las últimas actualizaciones de Nvidia echas con ia han sido un desastre
0 K 6
#22 MADMax2
#4 cuando me pasa eso siempre le echo la culpa a los DNS xD
0 K 9
tommyx #27 tommyx *
#4 seguro es cosa de Windows o la liga :troll: CC #22
0 K 8
Cidwel #32 Cidwel
#22 la vieja confiable  media
1 K 19
Pilfer #25 Pilfer
#4 el el mini pc, a pesar de que tengo las actualizaciones desactivadas,se actualizo el Edge y me jodió conexiones de todos los navegadores, funcionaban un rato y fallo de access violation en todos. Me tocó actualizar Windows por cojones.

Así que aunque tengas las actualizaciones desactivadas. Windows 11 se las apaña para joderte con actualizaciones.
0 K 10
tommyx #28 tommyx
#25 hombre claro, es su producto y lo hacen para mejorar la experiencia del usuario! xD
0 K 8
#33 cnr
#4 En firefox no he notado nada raro. Las actualizaciones de win las tengo pausadas hasta que no me quede otra.
0 K 6
borteixo #39 borteixo
#4 precisamente w11 va como la mierda por haber metido código con ia.. je.
0 K 10
Ramsay_Bolton #37 Ramsay_Bolton
esto mata las empresas de auditoria, ahora cualquier senior podra buscar y solucionar todo eso sin gastar dinereteee
0 K 6
Alf74 #14 Alf74 *
y para encontrar vulnerabilidades en PS5 o XBOX serie S/X?
0 K 6
tommyx #29 tommyx
#14 sin tener el código... Se pueden hacer pentests por ejemplo
0 K 8

menéame