✨︎ Resumen (TL;DR):
- Agentes autónomos de inteligencia artificial logran vulnerar sistemas de seguridad que expertos humanos pasaron por alto durante décadas.
- La startup depthfirst identificó 21 fallas de tipo zero-day en la biblioteca multimedia FFmpeg con una inversión de solo $1,000 dólares.
- Un ingeniero de seguridad utilizó Claude Opus 4.8 para parchar una vulnerabilidad en Zcash que permitía falsificar su criptomoneda de forma ilimitada.
Agentes de inteligencia artificial autónomos lograron identificar vulnerabilidades críticas de seguridad que evadieron el radar de expertos humanos durante años en la biblioteca multimedia FFmpeg y en la criptomoneda Zcash. Este avance demuestra la velocidad y capacidad de los nuevos modelos de lenguaje para analizar millones de líneas de código en minutos, transformando por completo la auditoría de software y la ciberseguridad global.
FFmpeg es una biblioteca de software de código abierto que procesa archivos multimedia y se encuentra integrada en casi cualquier aplicación de video moderna.
La startup de ciberseguridad depthfirst reveló que su agente autónomo de IA detectó 21 vulnerabilidades de tipo zero-day inéditas dentro de FFmpeg. Lo sorprendente es que el costo del procesamiento en la nube fue de apenas $1,000 dólares.
Algunos de estos errores estuvieron ocultos en el código por más de 20 años, a pesar de que herramientas avanzadas de Google y Anthropic ya habían analizado el software previamente.
El sistema de depthfirst analizó cerca de 1.5 millones de líneas de código C y generó de manera automatizada una prueba de concepto para demostrar cómo explotar cada bug de seguridad. Hasta el momento, nueve de estas fallas ya recibieron sus respectivos identificadores CVE.
La joven empresa, fundada en octubre de 2024 y valorada en $580 millones de dólares tras levantar una ronda de inversión de $80 millones en marzo de 2026, anunció en mayo un fondo de $5 millones de dólares en créditos de su plataforma para auditar proyectos de código abierto.
Zcash y la falsificación infinita que Claude Opus 4.8 resolvió
Por otro lado, la criptomoneda enfocada en la privacidad, Zcash, sufrió un golpe similar. Su creador, Zooko Wilcox, hizo público el descubrimiento de una falla crítica de falsificación en su protocolo Orchard que existía desde mayo de 2022. Este bug permitía a un atacante generar monedas ZEC falsas de forma ilimitada sin dejar rastro.
El ingeniero de seguridad Taylor Hornby, contratado por la organización Shielded Labs, encontró la vulnerabilidad el pasado 29 de mayo utilizando la herramienta Claude Opus 4.8 de Anthropic, que se había lanzado apenas un día antes.
Hornby diseñó un exploit de prueba que generó criptomonedas falsas en un entorno de pruebas local. Tras la alerta, el laboratorio de desarrollo de Zcash reaccionó rápidamente: el 2 de junio aplicaron un soft fork de emergencia para detener las transacciones en Orchard y el 3 de junio ejecutaron un hard fork definitivo para corregir el problema.
El impacto en el mercado y el nuevo panorama de la ciberseguridad
La revelación afectó la cotización de Zcash, provocando un desplome en el valor del token ZEC de más del 30%. Aunque Shielded Labs afirmó que la complejidad de la falla hace poco probable que haya sido explotada antes, admitieron que no existe un método criptográfico para comprobarlo con certeza.
La velocidad de detección de estos sistemas plantea un desafío inédito. En mayo, el Grupo de Inteligencia de Amenazas de Google confirmó el primer caso real de cibercriminales utilizando IA para descubrir y aprovechar un zero-day.
Anthropic ha confirmado que sus sistemas de lenguaje ahora son capaces de hallar fallas de alta gravedad a gran escala. Las herramientas automatizadas están encontrando fallas de seguridad a un ritmo mucho más acelerado de lo que los equipos humanos tardan en desarrollar y aplicar los parches correspondientes.
