Un descubrimiento que despierta vigilancia
Google ha presentado oficialmente Big Sleep, un sistema de inteligencia artificial desarrollado por DeepMind y el equipo de seguridad Project Zero, especializado en ciberseguridad ofensiva. En su primera prueba de campo, esta herramienta escaneó por su cuenta miles de líneas de código y logró detectar 20 fallos de seguridad en programas de código abierto que se usan de forma masiva en aplicaciones y servicios en todo el mundo. Así lo confirmó Heather Adkins, vicepresidenta de seguridad de Google.
Cómo huele al peligro: la lógica interna de Big Sleep
El motor de Big Sleep utiliza modelos de lenguaje avanzado (LLM), incluido Gemini, para simular el comportamiento de posibles atacantes. Puede reproducir vulnerabilidades sin intervención humana, pero antes de emitir un informe, un experto en seguridad revisa cada hallazgo. Así se asegura precisión y se reducen los falsos positivos.
Promesas en código abierto y más allá
El sistema identificó fallos en proyectos como FFmpeg e ImageMagick, dos bibliotecas esenciales que permiten a miles de aplicaciones procesar archivos multimedia. Estos errores podrían haber permitido la ejecución de código malicioso con solo cargar un archivo comprometido. Además, Big Sleep detectó una vulnerabilidad crítica en SQLite (CVE-2025-6965), una base de datos integrada en navegadores, aplicaciones móviles y sistemas operativos. Esta debilidad ya estaba siendo explotada de forma activa por atacantes, y la IA logró identificarla y frenarla antes de que escalara en mayor escala.
Datos, revisión y responsabilidad: la cadena bajo lupa
Aunque el agente opera con autonomía para detectar y reproducir fallos, Google aclara que un humano siempre valida el informe final. La confidencialidad técnica se mantiene hasta que los parches estén disponibles. Google ha publicado los detalles técnicos de las vulnerabilidades descubiertas por Big Sleep en su Issue Tracker. Sin embargo, muchos de los fallos aún no han recibido identificadores CVE, el sistema estandarizado para catalogar vulnerabilidades a nivel global. Esta decisión permite mantener bajo control la exposición pública de los errores mientras se implementan los parches correspondientes.
Una tensión latente: ¿oro o «slop» de IA?
Otros proyectos similares, como RunSybil y XBOW, han alertado sobre informes que parecen valiosos pero resultan ser falsos. Vlad Ionescu, cofundador de RunSybil, valora a Big Sleep como un proyecto sólido, aunque advierte que muchos hallazgos generados por IA pueden ser «AI slop»: datos basura disfrazados de descubrimientos.
Comparativa con otras herramientas del sector
Big Sleep no es un caso aislado. Herramientas como XBOW ya habían demostrado su eficacia en plataformas de caza de bugs como HackerOne. Pero la combinación de DeepMind (IA avanzada) y Project Zero (seguridad de élite) posiciona a Big Sleep como un actor con peso propio. La supervisión humana sigue siendo la clave para separar el ruido de la señal.
Un futuro vigilado por agentes inteligentes
Google ve en Big Sleep un nuevo modelo para fortalecer la seguridad de proyectos abiertos y sistemas críticos. Al liberar recursos humanos para tareas más estratégicas, aspiran a una defensa digital mediada por IA. En paralelo, desarrollan otras herramientas como Timesketch y FACADE, e impulsan alianzas globales para fomentar una IA segura y confiable.
Abre un paréntesis en tus rutinas. Suscríbete a nuestra newsletter y ponte al día en tecnología, IA y medios de comunicación.
