La IA descubre vulnerabilidades más rápido de lo que se pueden parchar, las coaliciones se apresuran a responder

La industria de la seguridad se enfrenta a lo que algunos denominan una “vulnpocalipsis”. Los modelos de IA de vanguardia, incluyendo Mythos de Anthropic y GPT-5.5-Cyber de OpenAI, están descubriendo vulnerabilidades en software de código abierto a un ritmo y profundidad que los auditores humanos jamás podrían igualar, reduciendo a casi cero el tiempo entre el descubrimiento y la explotación.

“Pinta un verano complicado para los equipos de seguridad”, escribió Jessica Lyons de The Register, citando al CEO de Chainguard, Dan Lorenc: “Las estadísticas y los datos que vemos son tan alarmantes que, si sigues ejecutando análisis en las mismas bibliotecas y el mismo código, la IA sigue encontrando más. Todavía no hemos visto que esa curva comience a aplanarse”.

Dos grandes coaliciones industriales se han formado en respuesta.

Coalición Athena

Athena, lanzada por Chainguard a mediados de junio, agrupa los hallazgos de vulnerabilidades de toda la industria y los procesa a través de un proceso de remediación coordinado. Los miembros fundadores incluyen BNY, Cisco, Cloudflare, Docker, JPMorganChase, Kyndryl y PwC.

La coalición ya ha procesado más de 20.000 hallazgos, desarrollado más de 2.000 parches en 500 proyectos de código abierto y planea su primera ola de divulgaciones públicas coordinadas en cuestión de semanas. El proceso funciona bajo un modelo de preembargo: los miembros envían hallazgos de vulnerabilidades de cualquier modelo de vanguardia, Chainguard actúa como centro de intercambio para deduplicar y correlacionar los hallazgos, y versiones reforzadas de las bibliotecas afectadas se distribuyen de forma privada a los miembros antes de la divulgación pública. Si los mantenedores upstream no pueden o no quieren parchar, Athena actúa como “mantenedor de último recurso”, manteniendo forks vivos de forma permanente.

“El tiempo de explotación se ha vuelto negativo, los exploits llegan antes de que se divulgue una falla”, dijo Lorenc. “Todo el trabajo de Athena es hacer que el tiempo de reparación sea aún más negativo, para que la solución ya esté en su lugar antes de que la vulnerabilidad se haga pública”.

Coalición Akrites

La Linux Foundation lanzó Akrites el 25 de junio, respaldada por más de 20 organizaciones fundadoras, incluyendo Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft y GitHub, NVIDIA, OpenAI, Red Hat, la Rust Foundation y JPMorganChase. Mientras que Athena se centra en la remediación operativa, Akrites establece un Equipo Compartido de Respuesta a Incidentes de Seguridad (SIRT) y un proceso estandarizado de Divulgación Coordinada de Vulnerabilidades (CVD).

Akrites busca prevenir un panorama de parches fragmentado en el que docenas de empresas analizan de forma independiente el mismo software, inundando a los mantenedores con informes duplicados y correcciones contradictorias. “Sin coordinación, esas correcciones se fragmentarán en diferentes parches y forks”, dijo Lorenc a The Register.

La magnitud del problema

El Proyecto Glasswing de Anthropic, que concede acceso anticipado a Mythos para la investigación de vulnerabilidades, reportó haber encontrado 6.202 vulnerabilidades de gravedad alta y crítica en más de 1.000 proyectos de código abierto solo en mayo. La iniciativa Daybreak de OpenAI opera bajo un modelo similar. Entre los descubrimientos se encontraba “Squidbleed”, una fuga de memoria en código ampliamente implementado que había pasado desapercibida desde la década de 1990.

El desafío es estructural: el 95 % del código en cualquier aplicación moderna es de código abierto. Cuando los modelos de IA encuentran fallas en bibliotecas de terceros, los equipos de seguridad de aplicaciones no pueden simplemente corregir el código ellos mismos. Deben coordinarse con los mantenedores upstream, muchos de los cuales están sobrecargados de trabajo, son inalcanzables o han abandonado el proyecto por completo.

“Para aquellos que no pueden, Athena parchea permanentemente”.

“El tiempo de explotación se ha vuelto negativo, los exploits llegan antes de que se divulgue una falla”.

“Las estadísticas, sigues ejecutando análisis en las mismas bibliotecas y el mismo código, y la IA sigue encontrando más”.

Fuentes: It’s looking like a hot, messy summer for security teams as AI finds countless previously hidden vulns (The Register, 27 de junio de 2026); Chainguard Launches Athena (Chainguard, 15 de junio de 2026); Akrites Launch (Linux Foundation, 25 de junio de 2026)

Traducido por Alessandra

Scroll to Top