Modelos de IA transforman parches en exploits funcionales en minutos y ponen en riesgo la ventana de divulgación de 90 días

Himanshu Anand alerta que modelos de lenguaje permiten convertir parches en exploits operativos en cuestión de minutos, lo que invalida las suposiciones detrás del estándar de divulgación de 90 días y exige cambios urgentes en la gestión de vulnerabilidades.

Himanshu Anand afirma que los modelos de lenguaje de inteligencia artificial pueden transformar parches en exploits prácticos en apenas minutos, una capacidad que reduce drásticamente el tiempo disponible para proteger sistemas tras la publicación de una corrección y pone en entredicho la eficacia del plazo estándar de divulgación de 90 días. Esta aceleración importa porque elimina la ventaja temporal que históricamente habían tenido proveedores y administradores para aplicar mitigaciones antes de que los fallos se exploten masivamente.

Analista de seguridad de firewall en Cloudflare y ex empleado de Symantec, Anand documentó tres ejemplos reales en un blog técnico. Entre ellos figura un incidente en abril en una tienda en línea que permitía completar compras por cero dólares; Anand fue la undécima persona en reportar esa falla en seis semanas. exploits generalizados.

El análisis señala que el modelo de divulgación de 90 días, impulsado por iniciativas como Google Project Zero, se basa en cuatro supuestos que, según Anand, ya no se cumplen: (1) el descubridor probablemente es el único que halló la falla; (2) otros investigadores tardarán en identificarla; (3) el proveedor dispondrá de una ventaja temporal para parchear; y (4) tras publicar un parche, los atacantes necesitarán días o semanas para desarrollar exploits.