El proyecto open source cURL, una herramienta vital para la interacción con recursos de internet que ya cumplió 25 años, está viviendo una situación preocupante debido a una avalancha de reportes de vulnerabilidades generados por inteligencia artificial que no aportan valor real. Daniel Stenberg, fundador y principal desarrollador del proyecto, ha expresado públicamente su frustración ante lo que considera un mal uso de las herramientas de IA para enviar lo que él denomina "AI slop" o informes de seguridad de baja calidad basados en contenido generado automáticamente y sin fundamento técnico suficiente. cURL es una herramienta y biblioteca que permiten realizar transferencias de datos a través de diversos protocolos de red, su rol en el ecosistema tecnológico es esencial. Por esa razón, recibe constantemente reportes de vulnerabilidades y bugs a través de múltiples canales, incluyendo la plataforma HackerOne, que facilita la gestión de reportes y programas de recompensas. Sin embargo, en los últimos tiempos, cURL ha sido objeto de numerosos reportes que parecen más un ejercicio automatizado de generación de texto que investigaciones profundas y técnicas.
Según Stenberg, la situación alcanzó un punto crítico cuando recibió un reporte que describía un exploit novedoso basado en las dependencias de flujo en el protocolo HTTP/3. Aunque la descripción parecía detallada y bien redactada, al profundizar en la revisión, el equipo detectó que las supuestas vulnerabilidades no se aplicaban al software actual, que los parches sugeridos no tenían sentido práctico y que ciertas funciones mencionadas ni siquiera existían en las librerías involucradas. Además, el autor del reporte respondió a preguntas ignorando lo solicitado, e incluso incluyó explicaciones básicas que parecían generadas para llenar espacio, como instrucciones del uso de herramientas de control de versiones. Lo que hace que estos reportes sean particularmente difíciles de manejar es su apariencia formal y pulida, con un lenguaje perfecto y estructurado, algo que no suele darse en reportes humanos en una primera instancia. Muchas veces estos informes repetitivos y sin fundamento malgastan recursos valiosos del equipo de seguridad, desviando la atención de problemas legítimos y urgentes.
Stenberg ha sido lo suficientemente claro al afirmar que no ha visto hasta ahora un reporte de seguridad válido ayudado por IA, evidenciando que las capacidades actuales de estas herramientas en el ámbito del análisis de seguridad siguen limitadas. La problemática no se limita únicamente al proyecto cURL: expertos en la comunidad de software libre y seguridad han confirmado que fenómenos similares se están observando en otros proyectos open source. Seth Larson, desarrollador de seguridad residente en la Python Software Foundation, ha compartido su preocupación respecto a que esta tendencia pueda estar sucediendo a gran escala, afectando a muchas comunidades y generando ruido inmenso que dificulta el trabajo genuino de identificación y corrección de fallos. Por otro lado, HackerOne, la plataforma utilizada para gestionar reportes en cURL, ha reconocido la creciente presencia de reportes automáticos que contienen información incorrecta o confusa. Alex Rice, cofundador y responsable técnico y de seguridad de HackerOne, ha declarado que si bien la inteligencia artificial puede ser una herramienta poderosa y beneficiosa cuando se usa con responsabilidad, también es esencial que no se convierta en un factor que introduzca ruido o datos inexactos en los sistemas de reporte.
Rice ha enfatizado que su plataforma busca equilibrar la innovación tecnológica con la calidad, alentando a los investigadores a usar IA para mejorar la claridad y el alcance en sus hallazgos, especialmente para aquellos cuya lengua materna no es el inglés. Aún así, la meta final es mantener altos estándares en todos los reportes para garantizar que la información sea útil para los equipos de desarrollo y seguridad. El impacto de la avalancha de reportes generados por IA va más allá de la pérdida de tiempo y energía. Se trata también de un desafío para la sostenibilidad de proyectos vitales que dependen del trabajo voluntario o financieramente limitado. Cuando los colaboradores tienen que dedicar horas a filtrar información inexacta, el progreso genuino se ralentiza y la comunidad puede experimentar desánimo.
Por esta razón, Daniel Stenberg ha propuesto implementar mecanismos de verificación más estrictos, como cuestionarios para confirmar el uso o no de IA en la generación de reportes, así como la imposición de sanciones, incluyendo la prohibición para quienes envíen contenido considerado “AI slop”. En sus comunicaciones, Stenberg ha sugerido también que se podrían instaurar sistemas para que los reporteros paguen una fianza para que sus alertas sean revisadas, una propuesta que busca filtrar mejor las contribuciones y reducir el volumen de falsos positivos. La colaboración con plataformas como HackerOne es clave para desarrollar estas herramientas que permitan mejorar la calidad del flujo de información. Este debate sitúa a la comunidad de desarrollo de software en un punto crucial respecto al rol de la inteligencia artificial. La IA puede ser un gran aliado para automatizar tareas repetitivas, incrementar la productividad y facilitar la identificación de patrones.
Sin embargo, la confianza ciega en sistemas automatizados sin crítica o supervisión humana puede llevar a resultados contraproducentes, como en el caso de la generación masiva de reportes de vulnerabilidades sin fundamento sólido. Por otro lado, la naturaleza misma de la seguridad informática requiere un análisis riguroso, experiencias profundas y un entendimiento contextual que todavía resulta difícil para los modelos de lenguaje natural actuales. A pesar de su capacidad para procesar grandes cantidades de datos y generar contenido coherente, carecen de la capacidad para discernir de manera precisa vulnerabilidades inéditas o realizar pruebas efectivas que confirmen su existencia en el software. En resumen, el caso de cURL y los reportes “AI slop” sirven como una llamada de atención para el sector tecnológico. Debemos ser conscientes de las limitaciones de la IA y diseñar políticas y prácticas para regular su aplicación en ámbitos críticos como la seguridad.
