Los informes de vulnerabilidades ya no son territorio sagrado

Fuentes: Vulnerability Reports Are Not Special Anymore

Filippo Valsorda, referente histórico del equipo de seguridad de Go y actual responsable de mantenimiento profesional en Geomys, sostiene que los informes de vulnerabilidades han dejado de merecer un tratamiento excepcional dentro del software libre. Durante años, el consenso fue que estos reportes exigían respuesta rápida, triage dedicado y crédito al investigador: la rareza del hallazgo y la confidencialidad previa al parche justificaban esa deferencia. Valsorda argumenta que esa premisa se ha evaporado en 2026, porque los modelos de lenguaje de gran tamaño (LLM) igualan hoy la capacidad de cualquier investigador medio para localizar fallos, lo que ha desplazado el cuello de botella del descubrimiento hacia el triaje de señales en un entorno saturado de ruido. Si los atacantes pueden invocar su propio LLM, el embargo y la divulgación coordinada pierden valor estratégico: la asimetría de información entre defensor y atacante se reduce a la del propio triaje, un trabajo que ya no depende del informante externo. La conclusión operativa es que el trabajo de proteger a los usuarios pasa por integración de análisis con LLM en integración continua (CI), remediación rápida y prevención en el código, no por atender reportes como si fuesen favores individuales. Valsorda reconoce lo incómodo de la postura, hasta el punto de citar la suspensión de los canales de reporte de curl como ejemplo que días antes habría defendido y que ahora ya no sabe justificar. La pieza incluye, además, una nota personal sobre la edición anual de la prueba motociclista Centopassi en el sur de Italia y la mención de los patrocinadores de Geomys (Ava Labs, Teleport, Datadog, Tailscale y Sentry).