✨︎ Resumen (TL;DR):
- Google dejó de aceptar reportes automatizados en su programa de recompensas por vulnerabilidades debido a sus altas tasas de error.
- Siete gigantes tecnológicos invertirán $12.5 millones de dólares para mitigar el exceso de spam en proyectos de código abierto.
- Creadores de herramientas clave como cURL cerraron sus programas al detectar que menos del 5% de los reportes en 2025 eran válidos.
Google decidió bloquear de forma definitiva los envíos generados por inteligencia artificial en su Open Source Software Vulnerability Reward Program. La compañía tomó esta medida ante una ola masiva de alucinaciones y reportes automatizados que carecen de impacto real en la seguridad.
“Para asegurar que nuestros equipos de evaluación puedan enfocarse en las amenazas más críticas, ahora requeriremos pruebas de mayor calidad (como una reproducción en OSS-Fuzz o un parche integrado) para ciertos niveles, con el fin de filtrar reportes de baja calidad y permitirnos enfocar en el impacto en el mundo real”, explicó Google en su blog oficial al anunciar el cambio de política.
El problema de los agentes de IA buscando recompensas afecta a toda la industria. Una investigación de Axios a principios de mes reveló que los mantenedores de software libre, quienes antes procesaban de dos a tres reportes de vulnerabilidad por semana, ahora reciben cientos de envíos simultáneos elaborados por usuarios que no comprenden el código que denuncian.
Daniel Stenberg, creador de la popular herramienta cURL, cerró por completo su programa de recompensas de bugs en enero tras confirmar que menos del 5% de los reportes recibidos en 2025 eran verdaderos. “El flujo constante de envíos deficientes cobra un costo mental considerable”, señaló Stenberg.
Millones de dólares para combatir el spam automatizado
Para intentar frenar la crisis de los desarrolladores, el pasado 17 de marzo la Linux Foundation anunció una inversión conjunta de $12.5 millones de dólares respaldada por las siguientes empresas:
- Anthropic
- AWS
- GitHub
- Google y Google DeepMind
- Microsoft
- OpenAI
Los fondos serán administrados por Alpha-Omega y la Open Source Security Foundation (OpenSSF). El objetivo será desarrollar sistemas automatizados que permitan a los programadores clasificar la gigantesca cantidad de alertas falsas.
“La financiación por sí sola no va a ayudar a resolver el problema que las herramientas de IA están causando hoy en los equipos de seguridad de código abierto”, advirtió Greg Kroah-Hartman, del proyecto del kernel de Linux. Sin embargo, respaldó que OpenSSF use estos recursos para apoyar a los creadores que están sobrecargados con la actual revisión manual de fallos artificiales.
La iniciativa refleja una ironía en el ecosistema tech: las mismas corporaciones que despliegan modelos de lenguaje masivos están pagando para mitigar las consecuencias de su adopción pública. Pese a la controversia, Google defendió el uso corporativo de la tecnología, confirmando que sus propias herramientas Big Sleep (para detección zero-day) y CodeMender (para parcheo automatizado) ya lograron 72 correcciones de seguridad exitosas.
Mark Ryland, director de seguridad de AWS —compañía que aportó $2.5 millones al fondo— justificó el esfuerzo asegurando que “los mismos modelos avanzados que crean estos desafíos también pueden resolverlos a través de mejores herramientas y automatización”. Por su parte, Michael Winser, cofundador de Alpha-Omega, celebró la medida técnica indicando: “Estamos emocionados de llevar asistencia de seguridad de IA centrada en los mantenedores a los cientos de miles de proyectos que impulsan nuestro mundo”.
Fuentes: axios, aisecwatch, arstechnica, socket
