Un desarrollador creó una aplicación web deliberadamente vulnerable y gastó $1,500 en consultas a modelos de lenguaje grandes (LLMs) para ver si la IA podía hackearla. El experimento probó LLMs de OpenAI, Anthropic y Google en tareas como inyección SQL y cross-site scripting. Los modelos tuvieron éxito en algunos exploits simples, pero fallaron en ataques de varios pasos que requerían razonamiento. El desarrollador concluyó que los LLMs actuales aún no son confiables para pruebas de penetración automatizadas.
Este experimento nos dice algo importante: la IA no es un hacker mágico. Al menos no todavía. El desarrollador gastó $1,500 para confirmar lo que muchos expertos en seguridad ya sospechaban. Los LLMs pueden ayudar con reconocimiento básico, pero carecen de la creatividad necesaria para ataques reales.
Pero aquí está la visión optimista. Estamos temprano. Muy temprano. Dentro de cinco años, estas mismas pruebas podrían parecer triviales. La IA está aprendiendo a razonar paso a paso. Se vuelve más barata. Más rápida. Más inteligente. Los $1,500 gastados hoy son una inversión para entender la frontera. Mañana, esa misma cantidad podría comprar una auditoría de seguridad completa. El futuro no se trata de que la IA reemplace a los hackers. Se trata de que la IA haga de todos mejores hackers. Eso incluye también a los defensores.