OpenHack: cómo Hadrian transforma a los agentes de código con IA en auditores de seguridad más fiables

La idea es que los equipos de desarrollo o seguridad puedan ejecutar revisiones de seguridad estructuradas dentro del propio flujo de trabajo de desarrollo, en lugar de depender exclusivamente de auditorías manuales o revisiones improvisadas.

El problema de pedirle a un LLM que “revise un repositorio”

Los modelos de lenguaje actuales pueden leer código y detectar patrones problemáticos, pero una instrucción genérica como “encuentra vulnerabilidades en este repo” suele producir resultados poco fiables.

Según Hadrian, los problemas más comunes incluyen:

• Altas tasas de falsos positivos, donde el modelo marca como vulnerables fragmentos de código que en realidad son seguros.
• Alucinaciones, es decir, fallos inventados que no existen en el proyecto.
• Análisis inconsistentes, que cambian según cómo se formule el prompt o según el contexto disponible.

OpenHack intenta reducir estos problemas sustituyendo las preguntas abiertas por un método de investigación estructurado que guía paso a paso el análisis del modelo.

Investigación de seguridad basada en escenarios

Uno de los conceptos centrales del proyecto es el análisis por escenarios de ataque.

En lugar de pedirle al modelo que busque “cualquier problema”, el flujo de trabajo delimita el análisis a clases concretas de vulnerabilidad o rutas de explotación. Por ejemplo, el agente puede recibir instrucciones para:

• rastrear cómo fluye la entrada del usuario a través de la aplicación
• buscar posibles vulnerabilidades de Local File Inclusion (LFI)
• analizar cómo se almacenan credenciales o configuraciones en la nube

Al enfocar la investigación en objetivos claros, el modelo puede concentrar su razonamiento en rutas de ataque plausibles, lo que reduce resultados genéricos o irrelevantes.

Triage independiente para filtrar falsos positivos

Otro elemento clave de OpenHack es separar el descubrimiento de la validación.

En una ejecución típica del flujo:

1. Un agente de IA identifica una posible vulnerabilidad.
2. Otro paso —o incluso otro agente— realiza el triage del hallazgo.
3. El sistema exige evidencia técnica antes de aceptar el problema como real.

Esa evidencia puede incluir rutas de ejecución en el código, configuraciones concretas o una posible cadena de explotación. El objetivo es evitar que los modelos reporten problemas sin pruebas suficientes.

Pruebas en auditorías de software usado por el gobierno neerlandés

Hadrian afirma que utilizó una metodología similar a la de OpenHack para revisar aplicaciones open‑source empleadas por organismos del gobierno de los Países Bajos.

Según la empresa, el análisis asistido por LLM permitió detectar cientos de problemas de seguridad en cuestión de horas.

Uno de los ejemplos citados en su investigación describe una cadena de ataque que incluía:

• una vulnerabilidad LFI sin autenticación
• exposición de credenciales de Azure
• un posible camino hacia ejecución remota de código (RCE) en el entorno de Azure

Estos resultados proceden principalmente de informes del propio proveedor y todavía requieren verificación independiente, pero ilustran el tipo de razonamiento basado en cadenas de ataque que el flujo de trabajo intenta habilitar.

Por qué Hadrian decidió publicarlo como open source

OpenHack fue publicado en GitHub bajo la licencia MIT, junto con documentación, prompts listos para usar, herramientas CLI y compatibilidad con Python 3.9 o superior.

La empresa explica que su objetivo es "nivelar el terreno" en la detección de vulnerabilidades asistida por IA. Si las técnicas para encontrar fallos en software quedan en manos de actores privados o atacantes, los defensores podrían quedarse atrás.

Al liberar el método, Hadrian espera que desarrolladores y equipos de seguridad puedan aplicar el mismo enfoque estructurado a sus propios proyectos, utilizando modelos de lenguaje ampliamente disponibles.

Una tendencia más amplia: auditorías de seguridad asistidas por IA

OpenHack refleja un cambio más amplio en el mundo del desarrollo: el uso de agentes de IA para explorar grandes bases de código y automatizar tareas de ingeniería.

Los asistentes modernos ya pueden analizar repositorios completos, comprender la arquitectura de un sistema y proponer cambios en el código.

El desafío ahora es convertir esas capacidades en herramientas fiables para la seguridad. En ese contexto, enfoques como OpenHack —basados en análisis delimitado, recopilación de evidencia y verificación independiente— podrían ser clave para que las revisiones de seguridad impulsadas por IA sean realmente confiables.