Pentesters tradicionales, haced a un lado: un auditor con IA detectó más de 50 vulnerabilidades en código que usa todo el mundo
¿Qué es un ingeniero de seguridad en IA y por qué cambiará el enfoque del desarrollo de software seguro?
En el mercado han aparecido las primeras soluciones realmente operativas que utilizan inteligencia artificial para la búsqueda de vulnerabilidades en el código fuente. La nueva generación de sistemas AI-SAST — los llamados «ingenieros de seguridad con IA» — ya no se limita a automatizar el análisis estático, sino que imita el pensamiento de un auditor o pentester, identificando fallos lógicos, errores arquitectónicos y discrepancias entre la intención del desarrollador y la implementación.
Un investigador que probó estos productos informó que ZeroPath, Corgea y Almanax son hoy los que muestran los mejores resultados. Estas herramientas son capaces de encontrar en cuestión de minutos vulnerabilidades y errores reales, incluidos defectos complejos de la lógica de negocio, sin usar reglas rígidas basadas en firmas. Analizan el contexto, correlacionan funciones, variables y datos entre archivos e incluso proponen posibles correcciones de código. El nivel de falsos positivos es notablemente inferior al de las plataformas SAST clásicas.
Los motores de IA de estos sistemas funcionan mediante un esquema multinivel. Primero indexan el repositorio, construyen el árbol de sintaxis abstracta y determinan el propósito de la aplicación. Luego analizan el código de forma secuencial — línea por línea, por funciones y por archivos — aplicando sus propios algoritmos de búsqueda, heurísticas y consultas a LLM. En la fase final se comprueba la alcanzabilidad de las vulnerabilidades, se evalúa la gravedad y se realiza la deduplicación automática de resultados. Algunas soluciones, por ejemplo ZeroPath, además analizan dependencias, determinando si las CVE públicas afectan a un proyecto concreto, y generan informes al nivel SOC 2.
En las pruebas, ZeroPath mostró una detección prácticamente del cien por cien de las vulnerabilidades de prueba y descubrió más de 50 problemas nuevos en proyectos de código abierto, incluidos curl, sudo, Next.js, Avahi y Squid. Entre ellos se cuentan desbordamientos de búfer, manejo incorrecto de certificados, fugas de memoria, comprobación incorrecta de excepciones y vulnerabilidades en la implementación de TLS. Corgea demostró excelentes resultados con código JavaScript y reportes detallados con grafos de análisis taint, aunque presentó un mayor número de falsos positivos. Almanax resultó útil para encontrar fragmentos maliciosos y errores sencillos dentro de archivos individuales, pero rindió menos en el análisis de relaciones entre archivos.
A pesar de las limitadas capacidades de corrección automática y de los ocasionales errores de clasificación, la eficacia de estos sistemas ya impresiona. Pueden revisar secciones antiguas de código, analizar automáticamente nuevos commits, integrarse en CI/CD y ayudar a los desarrolladores a corregir vulnerabilidades antes del lanzamiento. Con el coste actual, estas soluciones se convierten en una herramienta muy rentable para pentesters y para los equipos de seguridad corporativos.
La principal conclusión del autor del análisis es que las plataformas AI-SAST se convertirán en uno de los cambios tecnológicos más significativos en ciberseguridad desde el resurgimiento del fuzzing en la década de 2010. No reemplazarán por completo a los pentesters, pero ya realizan gran parte del trabajo rutinario, mejoran la calidad del código y reducen el número de vulnerabilidades críticas.