Sistema de IA Descubre 12 Vulnerabilidades de Día Cero en OpenSSL, Curl Cancela Programa de Recompensas por Spam de IA
El sistema automatizado de IA de AISLE para el descubrimiento de vulnerabilidades de ciberseguridad encontró las 12 vulnerabilidades de día cero en la reciente actualización de seguridad de OpenSSL, mientras que curl canceló su programa de recompensas por errores debido a envíos de spam generados por IA. Esto representa la primera demostración en el mundo real de ciberseguridad basada en IA a esta escala contra infraestructuras fuertemente auditadas.
Detalles clave de la fuente
El sistema de IA descubrió vulnerabilidades en OpenSSL, que sustenta el cifrado de al menos dos tercios del tráfico de internet mundial. El sistema opera bajo el seudónimo "Giant Anteater" en programas de recompensas por errores y tiene como objetivo convertir la investigación de seguridad de élite en un proceso industrial repetible.
Resultados anteriores de otoño de 2025 incluyeron:
- CVE-2025-9230: Lectura/escritura fuera de límites en la operación de desenvuelto KEK de RFC 3211 para cifrado basado en contraseña CMS, que podría conducir a corrupción de memoria o ejecución de código. Este error había estado presente desde 2009.
- CVE-2025-9231: Canal lateral de tiempo en firmas de curva elíptica SM2 en ARM de 64 bits, donde variaciones en el tiempo de ejecución podrían permitir la recuperación de claves privadas mediante observación remota.
- CVE-2025-9232: Lectura fuera de límites en el manejo de no_proxy del cliente HTTP al analizar hosts IPv6, desencadenando un bloqueo controlado.
El sistema maneja el ciclo completo incluyendo escaneo, análisis, clasificación y construcción de exploits. Los mantenedores de OpenSSL son famosamente conservadores al emitir CVEs, haciendo que su aceptación sea un punto de referencia externo riguroso.
Mientras tanto, curl canceló su programa de recompensas por errores debido a una avalancha de envíos de spam generados por IA, incluso cuando AISLE les reportó 5 CVEs genuinos. Esto ilustra el doble impacto de la IA: colapsar la calidad media de los envíos mientras eleva el techo para descubrir verdaderas vulnerabilidades de día cero en infraestructura crítica.
El proyecto de pronóstico Frontier of the Year 2025 colocó el descubrimiento de vulnerabilidades impulsado por IA en infraestructura crítica en el puesto #3 general por impacto esperado, con una probabilidad de 0.9 de generalización.
📖 Leer la fuente completa: HN AI Agents
👀 Ver también
Vulnerabilidades de Seguridad de OpenClaw: Fallas Críticas del Framework Corregidas el 28.3.2026.
El Laboratorio de Seguridad de IA Ant identificó 33 vulnerabilidades en el marco central de OpenClaw, con 8 problemas críticos corregidos en la versión 2026.3.28. Las vulnerabilidades incluyen la evasión del sandbox, la escalada de privilegios, la persistencia de sesión tras la revocación de tokens, riesgos de SSRF y la degradación de listas de permitidos.
Servidor MCP: Mapeo de Exposición CVE y API Pública Lanzada
Los investigadores han mapeado la exposición a CVE en miles de servidores MCP y han creado una API pública para consultar vulnerabilidades de dependencias. La API permite buscar por repositorio/nombre, filtrar por gravedad y ordenar por cantidad de CVE o antigüedad.
AgentSeal Security Scan Detecta Riesgos de Agentes de IA en el Servidor MCP de Blender
AgentSeal escaneó el servidor MCP de Blender (17k estrellas) e identificó varios problemas de seguridad relevantes para agentes de IA, incluyendo ejecución arbitraria de Python, cadenas potenciales de exfiltración de archivos y patrones de inyección de prompts en descripciones de herramientas.
Sieve: Escáner de Secretos Local para Historiales de Chat de Herramientas de Codificación de IA
Sieve escanea los historiales de chat de Cursor, Claude Code, Copilot y otros asistentes de codificación con IA en busca de claves API y tokens filtrados. Todo el escaneo es local, con redacción y bóveda de llavero de macOS.