Una vulnerabilidad 0-day crítica en el kernel de Linux ha sido descubierta con el apoyo de un modelo de lenguaje de OpenAI, marcando un hito importante en la investigación asistida por inteligencia artificial. El fallo, identificado como CVE-2025-37899, afecta al componente ksmbd, un servidor en el núcleo del sistema que implementa el protocolo SMB3 para el intercambio de archivos en red.

El fallo: Use-After-Free en el comando ‘logoff’

La vulnerabilidad corresponde a una condición de use-after-free que ocurre al procesar el comando logoff de SMB. El problema se produce cuando un hilo libera el objeto sess->user durante la desconexión de sesión, mientras otro hilo, asociado a una petición de sesión concurrente, intenta acceder a ese mismo objeto ya liberado. Esta condición clásica de carrera puede derivar en corrupción de memoria y, potencialmente, en la ejecución de código arbitrario con privilegios de kernel.

Descubierto con el modelo o3 de OpenAI

El descubrimiento fue realizado por un investigador identificado como Sean, quien utilizó exclusivamente la API del modelo o3 de OpenAI sin herramientas adicionales, agentes ni estructuras de análisis complejas.

“Lo encontré usando solo la API de o3, sin andamiaje, sin frameworks sofisticados”, explicó Sean. “Que yo sepa, es la primera vez que se publica una vulnerabilidad de este tipo descubierta por un modelo de lenguaje de gran escala”.

El modelo o3, lanzado el 16 de abril de 2025, representa un salto significativo en la capacidad de razonamiento de los LLMs (Large Language Models), especialmente en tareas complejas como el análisis de código y la comprensión de operaciones concurrentes.

“Con o3, los LLMs han dado un salto cualitativo. Si trabajas en análisis de vulnerabilidades, ya es hora de prestarles atención seria”, añadió el investigador.

Impacto y alcance

La vulnerabilidad afecta múltiples versiones del kernel de Linux, incluyendo las versiones 6.12.27, 6.14.5 y 6.15-rc4. Distribuciones como SUSE ya están desarrollando parches, aunque el equipo de seguridad de SUSE la clasifica, por ahora, con una severidad “moderada”.

Aunque el Exploit Prediction Scoring System (EPSS) estima una baja probabilidad de explotación (0.02%), los expertos coinciden en que se trata de una falla de alta severidad por su potencial para comprometer completamente el sistema afectado.

El rol emergente de la IA en ciberseguridad

Este hallazgo marca un punto de inflexión en la colaboración entre humanos y sistemas de inteligencia artificial. En lugar de reemplazar a los investigadores en seguridad, modelos como o3 se están consolidando como herramientas potentes de asistencia, capaces de navegar y analizar grandes bases de código con eficiencia.

“Si eres un investigador de vulnerabilidades de alto nivel, las máquinas no van a reemplazarte. En realidad, están en un punto donde pueden hacerte mucho más eficiente”, concluyó Sean.

A medida que la IA continúa evolucionando, se espera que este tipo de descubrimientos se convierta en una práctica habitual en la investigación proactiva de fallos de seguridad críticos, ayudando a prevenir su explotación por actores maliciosos.