Google lanzó el lunes un importante impulso hacia la ciberseguridad basada en IA, anunciando tres nuevas iniciativas para automatizar la defensa digital.
La herramienta principal es CodeMender, un nuevo agente de IA que encuentra y corrige errores de software por sí solo.
Para obtener ayuda de la comunidad de seguridad, Google también inició un nuevo programa de recompensas por errores de IA con recompensas de hasta 30 000 dólares. Estos esfuerzos son parte de la estrategia de Google de utilizar la IA para combatir las amenazas cibernéticas. La empresa también está lanzando un marco seguro de IA.
Esta medida indica una escalada significativa en el uso de la IA con fines defensivos. Se basa en el trabajo anterior de Google con herramientas como Big Sleep, una IA que recientemente impidió una vulnerabilidad en el mundo real.
La estrategia subyacente es crear una ventaja decisiva para los defensores.
CodeMender: un agente de IA para la defensa autónoma
La pieza central del anuncio es CodeMender, un agente autónomo diseñado para parchear vulnerabilidades de software.
Desarrollado por los modelos avanzados Gemini Deep Think de Google, puede razonar a través de código complejo para identificar y reparar la seguridad fallas.
CodeMender opera tanto reactivamente, reparando nuevos errores, como proactivamente, reescribiendo código para eliminar clases enteras de vulnerabilidades.
Su proceso incluye un análisis profundo de la causa raíz y un sistema de autovalidación único que utiliza agentes de”crítica”especializados para revisar las correcciones.
Durante su desarrollo, el agente ya ha enviado 72 correcciones de seguridad al código abierto. proyectos.
En un caso notable, aplicó anotaciones de seguridad a la biblioteca libwebp, una solución que podría haber evitado un exploit de iOS sin clic a partir de 2023.
A Nueva recompensa por errores para incentivar la investigación de seguridad de IA
Para reforzar sus esfuerzos internos, Google está lanzando un programa de recompensa por vulnerabilidad de IA (VRP) dedicado.
El programa tiene como objetivo incentivar a la comunidad global de investigación de seguridad para encontrar e informar fallas de alto impacto en sus productos de IA, con recompensas máximas que alcanzan los $30 000.
El nuevo VRP consolida y aclara las reglas para informar problemas relacionados con la IA. Incluye explícitamente vulnerabilidades de seguridad como inyecciones rápidas y filtración de datos.
Sin embargo, excluye problemas relacionados con la generación de contenido dañino, que Google dirige a los usuarios a informar a través de herramientas de comentarios integradas en el producto.
Esto formaliza un esfuerzo que ha ya pagó a los investigadores más de 430.000 dólares por errores relacionados con la IA. Si bien el programa es un paso bienvenido, algunos críticos sugieren que el pago máximo puede ser demasiado bajo para atraer a investigadores de élite para las vulnerabilidades de IA más complejas.
Construcción de un ecosistema proactivo de defensa de IA
El tercer componente del anuncio de Google es el lanzamiento de su Secure AI Framework (SAIF) 2.0.
Esta versión actualizada proporciona nueva orientación sobre la gestión de la riesgos que plantean agentes de IA cada vez más autónomos, una preocupación creciente en toda la industria.
Estas iniciativas son una respuesta directa a la creciente ola de ciberataques impulsados por IA. Como han señalado empresas como NTT DATA, las herramientas de seguridad tradicionales están luchando por mantener el ritmo.
Sheetal Mehta de NTT DATA declaró anteriormente que”las herramientas de seguridad fragmentadas no pueden seguir el ritmo de los ataques automatizados de hoy”.
La estrategia de Google es aprovechar los éxitos de sus proyectos anteriores de seguridad de IA. Su agente Big Sleep, por ejemplo, evolucionó desde el descubrimiento de su primer error en SQLite a finales de 2024 hasta la neutralización proactiva de una amenaza crítica antes de que pudiera ser explotada a mediados de 2025.
Mediante marcos de código abierto como SAIF y el desarrollo de herramientas autónomas como CodeMender, Google pretende proteger no solo sus propios productos sino también el ecosistema de software más amplio.
Este enfoque integral subraya el compromiso a largo plazo de la empresa de inclinar la balanza de la ciberseguridad a favor de los defensores.
