Un equipo interno de Google dedicado a análisis de seguridad con IA ha reportado 17 vulnerabilidades reales en el procesador de trazas de Perfetto, una biblioteca en C++ para procesar trazas de registro, en apenas diez semanas entre abril y mayo. Los informes, de alta calidad y con propuestas de solución incluidas, han acelerado la corrección de errores que los sistemas de fuzzing tradicionales no detectaban desde hace tiempo, según el responsable del proyecto.
El artículo, firmado por el mantenedor principal, detalla que de los 21 reportes recibidos, 10 corresponden a comprobaciones de límites en búferes, 5 a errores de use-after-free, 1 a desbordamiento de pila por recursión y 1 a un fallo en listas de允许. Los cuatro restantes se cerraron por no ser accionables. Las 17 vulnerabilidades reales ya están corregidas e incluidas en Perfetto v56.0.
El autor subraya que la IA ha ampliado la atención a proyectos de la "larga cola", código relevante para la seguridad pero no crítico, donde antes no llegaban los investigadores humanos. Aunque el procesador de trazas no es un componente crítico, recomienda sandboxing con herramientas como gVisor, sandbox2 o minijail para quienes procesen trazas de terceros. Mantenedores de curl y del kernel de Linux han observado mejoras similares en la calidad de los reportes generados por IA en los últimos meses.