El Agente de IA de Google Descubre una Fallo Crítico en SQLite Antes de la Explotación

HomeNews* Google utilizó su marco impulsado por IA para detectar una importante vulnerabilidad de seguridad en la base de datos SQLite de código abierto antes de que fuera ampliamente explotada.

• El fallo, registrado como CVE-2025-6965, es una vulnerabilidad de corrupción de memoria que afecta a las versiones anteriores a 3.50.2.
• El agente de IA, llamado "Big Sleep", identificó la amenaza, potencialmente deteniendo los intentos activos de explotarla.
• Google está promoviendo un enfoque de seguridad híbrido para agentes de IA para ayudar a reducir los riesgos de vulnerabilidades y acciones maliciosas.
• Este es el primer caso documentado de un agente de IA deteniendo una vulnerabilidad antes de su explotación en el mundo real. El 16 de julio de 2025, Google anunció que su sistema de detección de vulnerabilidades basado en IA identificó un fallo crítico en el motor de base de datos SQLite antes de que los atacantes pudieran explotarlo. El descubrimiento involucró un problema etiquetado como CVE-2025-6965 y fue encontrado por “Big Sleep,” un agente de IA creado a través de una colaboración entre Google DeepMind y Google Project Zero.

• Anuncio - La vulnerabilidad recibió una puntuación CVSS de 7.2, lo que indica un riesgo severo. Según los mantenedores del proyecto SQLite, los atacantes capaces de inyectar código SQL dañino podrían causar un desbordamiento de enteros y leer más allá de los límites de un array, lo que llevaría a un comportamiento impredecible o a filtraciones de datos. Todas las versiones de SQLite anteriores a 3.50.2 están afectadas.

Google describió esta falla de seguridad como crítica, señalando que los actores de amenazas estaban al tanto de ella y podrían haberla explotado. “A través de la combinación de inteligencia de amenazas y Big Sleep, Google pudo predecir que una vulnerabilidad iba a ser utilizada inminentemente y pudimos cortarla de antemano,” dijo Kent Walker, Presidente de Asuntos Globales de Google y Alphabet, en una declaración oficial. También dijo: “Creemos que esta es la primera vez que se ha utilizado un agente de IA para frustrar directamente los esfuerzos por explotar una vulnerabilidad en el mundo real.”

El año pasado, Big Sleep también detectó una vulnerabilidad separada de SQLite—un subdesbordamiento de búfer en la pila—que podría haber llevado a fallos o a que atacantes ejecutaran código arbitrario. En respuesta a estos incidentes, Google publicó un documento técnico que recomienda controles humanos claros y límites operativos estrictos para agentes de IA.

Google dice que los controles de seguridad de software tradicionales no son suficientes, ya que no proporcionan el contexto necesario para los agentes de IA. Al mismo tiempo, la seguridad basada únicamente en el juicio de la IA no proporciona fuertes garantías debido a debilidades como la inyección de comandos. Para abordar esto, Google utiliza un enfoque de múltiples capas, "defensa en profundidad", que combina salvaguardias tradicionales y defensas impulsadas por IA. Estas capas tienen como objetivo reducir los riesgos de ataques, incluso si el proceso interno del agente es manipulado por amenazas o entradas inesperadas.

Artículos Anteriores:

• El trader James Wynn regresa a Hyperliquid con una apuesta de $20M en Bitcoin
• La Red Canton Agrega Principales Firmas de Liquidez para Colateral en Cadena
• Nexo Reduce las Tasas de Ahorro Flexibles de AXS Tras los Cambios en el Protocolo
• La DEA incauta USD 10 millones en criptomonedas del cartel de Sinaloa durante redadas de drogas en Florida
• Hong Kong presenta el marco LEAP, establece el libro de reglas global de criptomonedas

• Anuncio -