2 min de lectura

Capital One publica como código abierto VulnHunter para la seguridad del código

Capital One ha publicado VulnHunter, una herramienta de seguridad de código de código abierto que utiliza un enfoque de razonamiento basado en agentes para encontrar fallos explotables y sugerir corre

Imagen: Hacker News

Capital One ha publicado como código abierto VulnHunter, una herramienta de seguridad de código diseñada para analizar el código fuente desde la perspectiva de un atacante, identificar defectos potencialmente explotables y proponer remediaciones específicas.

La compañía afirma que la herramienta se creó en respuesta a un entorno de amenazas más dinámico, en el que los modelos avanzados están reduciendo el coste y la habilidad necesarios para encontrar y explotar vulnerabilidades de software. En lugar de comportarse como un escáner pasivo tradicional, VulnHunter utiliza un flujo de trabajo de razonamiento basado en agentes para trazar las probables rutas de ataque a través del código y comprobar si un fallo es realmente explotable.

Capital One explica que uno de los principales objetivos de diseño fue reducir la fricción para los desarrolladores. En lugar de abrumar a los equipos con alertas amplias, la herramienta pretende desplazar el esfuerzo desde la clasificación de falsos positivos hacia la reparación del código respaldada por evidencia.

Cómo funciona VulnHunter

Capital One destaca tres capacidades principales:

  • Un motor de falsificación que intenta refutar cada hallazgo buscando suposiciones rotas, lagunas lógicas o condiciones que bloquearían un ataque
  • Análisis prospectivo centrado en el atacante que comienza desde puntos de entrada alcanzables como APIs, mensajes de red o cargas de archivos y razona hacia adelante a través de la aplicación
  • Modelado de remediación respaldado por evidencia que mapea la ruta de explotación persistente y genera cambios de código concretos para su revisión

Según la compañía, solo se muestran a los desarrolladores los hallazgos que superan ese reto interno.

Recomendado

Cámara TP-Link Kasa expuso la ubicación GPS del hogar durante años

Disponibilidad y requisitos

Antes del lanzamiento público, Capital One afirma que utilizó VulnHunter internamente en miles de repositorios que abarcan decenas de áreas de negocio, donde identificó y ayudó a remediar vulnerabilidades.

El proyecto ya está disponible en GitHub en github.com/capitalone/vulnhunter bajo la licencia Apache 2.0. Para ejecutarlo, los usuarios necesitan acceso a Claude Opus 4.8 y a un entorno Claude Code operativo. El repositorio incluye una guía de inicio rápido, documentación de arquitectura, flujos de trabajo de ejemplo anotados, limitaciones documentadas y una hoja de ruta de desarrollo activa.

Capital One indica que Claude Opus 4.8 se utilizó para la optimización del modelo y la habilidad Claude Code se empleó para la implementación inicial, aunque añade que el marco podría adaptarse potencialmente a otros entornos de codificación y modelos de base.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía Hacker News

// Sigue leyendo