Una empresa de inteligencia artificial llamada GregoAI ha obtenido una recompensa de 250.000 dólares por errores después de que su software encontrara de forma autónoma una vulnerabilidad de seguridad crítica. Este pago es uno de los más grandes jamás otorgados por una sola vulnerabilidad descubierta por una máquina, lo que marca un hito en la piratería automatizada.
Cómo funciona el sistema
La plataforma de GregoAI opera sin intervención humana directa. Escanea aplicaciones y sistemas en busca de posibles debilidades y luego intenta convertir esas debilidades en exploits funcionales. Ese informe de exploit es lo que se envía al programa de recompensas por vulnerabilidades de la organización afectada. La organización verificó el hallazgo y emitió la recompensa.
La empresa no ha revelado el producto que contenía el fallo ni la organización que pagó la recompensa. Lo que se sabe es la cantidad: 250.000 dólares. En el mundo de las recompensas por vulnerabilidades, esto sitúa al descubrimiento en un territorio de élite. La mayoría de las recompensas oscilan entre unos pocos cientos y unos pocos miles de dólares. Las recompensas de seis cifras son raras y suelen reservarse para fallos que podrían permitir a un atacante tomar el control de un dispositivo o robar datos sensibles.
Investigadores autónomos frente a humanos
La caza tradicional de vulnerabilidades la realizan personas que inspeccionan manualmente el código, ejecutan depuradores y prueban casos límite. Requiere tiempo y experiencia. Los sistemas autónomos funcionan de manera diferente. Pueden ejecutarse de forma continua, probando millones de entradas sin fatigarse. El sistema de GregoAI está diseñado para aprender de cada prueba, volviéndose más inteligente a medida que explora.
La empresa no ha publicado detalles técnicos de su enfoque, pero sistemas similares a menudo combinan el fuzzing — bombardear un programa con datos aleatorios para provocar fallos — con modelos de aprendizaje automático que predicen dónde es más probable que se oculten los errores. Una vez que el sistema encuentra una posible falla, intenta crear un exploit que demuestre la gravedad del fallo. Esa demostración es clave para obtener una recompensa alta.
Qué dice el pago de 250.000 dólares sobre el fallo
Los programas de recompensas por vulnerabilidades son gestionados por empresas como Google, Microsoft, Apple y muchas otras. Cada una tiene su propia escala de pagos. Un pago de 250.000 dólares indica que la vulnerabilidad se consideró crítica, probablemente permitiendo la ejecución remota de código o un compromiso total del sistema. El hecho de que un sistema autónomo la haya encontrado sugiere que estos sistemas ahora son capaces de igualar o superar a los investigadores humanos en objetivos de alto valor.
Para GregoAI, la recompensa sirve como prueba de concepto. La empresa probablemente ha invertido mucho en el desarrollo de la plataforma autónoma. Este pago demuestra que el enfoque puede generar ingresos reales, no solo interés académico.
Qué significa esto para el panorama de la seguridad
El descubrimiento automatizado de vulnerabilidades podría cambiar la dinámica de la divulgación de fallos. Si las máquinas pueden encontrar errores críticos más rápido que los humanos, los proveedores de software podrían ver un aumento en los informes. Esto podría tensar su capacidad para aplicar parches rápidamente, pero también significa que menos errores pasan desapercibidos durante largos períodos.
La recompensa de 250.000 dólares también eleva el listón para otras empresas de seguridad autónoma. Varias startups están construyendo tecnología similar. El pago de GregoAI es una señal clara de que el mercado valora los exploits descubiertos por máquinas al mismo nivel que los descubiertos por humanos.
La siguiente pregunta es cuántas recompensas de este tipo seguirán. GregoAI no ha dicho si planea escalar su sistema para un uso más amplio o continuar cazando en solitario. Pero la industria está observando. Un solo pago de 250.000 dólares no hace una revolución, pero sí demuestra que la máquina puede encontrar el tipo de fallo que mantiene despiertos a los equipos de seguridad por la noche.
