🕵️♂️ Cuando la IA inventa vulnerabilidades
Durante años, los programas de bug bounty —recompensas por descubrir errores de seguridad— han sido pilares del ecosistema de la ciberseguridad moderna.
Empresas como Google, Meta o Apple ofrecen pagos millonarios a quienes descubren vulnerabilidades reales antes de que los ciberdelincuentes las exploten.
Sin embargo, en los últimos meses ha surgido una amenaza inesperada: los reportes falsos generados por inteligencia artificial.
Modelos de lenguaje avanzados están siendo utilizados para fabricar vulnerabilidades inexistentes con el fin de obtener recompensas económicas rápidas, sin investigación real detrás.
El resultado: una avalancha de informes inventados que están colapsando las plataformas de referencia como HackerOne o Bugcrowd, poniendo en riesgo la confianza entre empresas y analistas de seguridad.
⚠️ El caso cURL: cuando el “AI slop” se vuelve un problema real
Uno de los ejemplos más notables proviene del proyecto cURL, una de las herramientas más usadas en internet.
Su desarrollador principal, Daniel Stenberg, denunció públicamente haber recibido decenas de reportes falsos de vulnerabilidades “críticas”.
Algunos títulos eran alarmantes:
“Buffer Overflow Vulnerability in WebSocket Handling”
“HTTP/3 Stream Dependency Cycle Exploit”
“Use of Deprecated strcpy() with Fixed-Size Buffers”
Pero tras una revisión técnica, ninguno de los reportes tenía fundamento real.
El código mostrado era inventado, las rutas no existían y las descripciones repetían frases genéricas propias de un texto generado por IA.
Frente a esto, el equipo de cURL adoptó una política contundente:
“Nuestra política actual establece que banearemos instantáneamente a todos los que envían ‘AI slop’.”
El término AI slop —literalmente, “papilla de IA”— comienza a popularizarse para referirse a contenido generado automáticamente, coherente en apariencia pero vacío de valor técnico o factual.
🧩 Cómo detectar vulnerabilidades falsas creadas por IA
Los equipos de seguridad están desarrollando filtros automáticos y manuales para identificar reportes generados por IA.
Algunos patrones comunes del AI slop son:
-
🔁 Repetición de frases o estructuras idénticas en múltiples informes.
-
📂 Referencias a archivos o funciones inexistentes.
-
💻 Código de ejemplo que no compila o carece de lógica.
-
🚫 Ausencia total de pruebas de concepto (PoC) o exploits verificables.
-
🧠 Descripciones vagas o ambiguas, sin evidencia técnica concreta.
Estos indicios permiten a los moderadores detectar falsos positivos y evitar que los sistemas de recompensa se vean saturados por informes fraudulentos.
💰 El incentivo económico detrás del fraude
Los bug bounty programs se basan en un principio simple: recompensar la detección responsable de vulnerabilidades.
Los pagos, que pueden alcanzar miles o incluso millones de dólares, han generado una comunidad global de investigadores freelance que auditan código y reportan errores reales.
Pero con la llegada de herramientas generativas, muchos usuarios han visto una oportunidad de simular conocimiento técnico.
Basta con pedirle a una IA que “encuentre vulnerabilidades” en un repositorio público o que redacte un informe técnico convincente.
El resultado es una proliferación de reportes que parecen profesionales, pero no contienen hallazgos verificables.
El impacto es doble:
-
📉 Aumenta la carga de revisión sobre los equipos de seguridad.
-
⚠️ Reduce la confianza hacia investigadores legítimos que sí realizan auditorías reales.
🧠 Un dilema ético y técnico
El auge del AI slop plantea un debate profundo sobre el papel de la inteligencia artificial en la investigación de vulnerabilidades.
¿Debe prohibirse su uso completamente o puede considerarse una herramienta válida si existe supervisión humana?
Algunos expertos defienden un uso responsable de la IA para apoyar tareas como:
-
El análisis estático de código.
-
La identificación de patrones anómalos.
-
La automatización de pruebas de seguridad repetitivas.
Sin embargo, el límite es claro: cuando la IA sustituye la verificación humana o inventa hallazgos inexistentes, deja de ser un apoyo técnico y se convierte en un fraude.
🧱 Un problema de confianza en el ecosistema
La fuerza de los programas de recompensas radica en la confianza mutua:
-
Las empresas confían en que los investigadores actúan de buena fe.
-
Los investigadores confían en que sus aportes serán reconocidos y recompensados justamente.
La aparición del AI slop erosiona este equilibrio.
Ante el temor a recibir informes falsos, las empresas endurecen sus filtros y los revisores se vuelven más escépticos, afectando también a los profesionales legítimos.
Este fenómeno refleja una tendencia más amplia: la saturación de contenido generado por IA sin supervisión, que ya afecta al arte, la educación, la escritura y ahora, la ciberseguridad.
🧭 La IA como herramienta, no como sustituto
El caso del AI slop evidencia una verdad crucial: la inteligencia artificial no reemplaza el criterio humano en ciberseguridad.
Las herramientas generativas pueden ayudar, pero no deben ser utilizadas como atajos para obtener beneficios económicos sin respaldo técnico.
El verdadero desafío está en diseñar sistemas de verificación híbridos, donde la IA sea un apoyo y no una fuente de desinformación.
Porque en la seguridad digital, la confianza y la precisión son tan valiosas como las recompensas mismas.
Ingeniero en Sistemas de Información y docente universitario en el área de tecnología. Especialista en el desarrollo de sitios web, plataformas e-commerce y entornos virtuales de aprendizaje basados en Moodle. Experiencia en soluciones tecnológicas aplicadas a la educación y a la transformación digital de organizaciones.
