Claude Opus 4.6 descubrió una vulnerabilidad de 23 años en el kernel de Linux en un fin de semana

Veintitrés años. Y un fin de semana. Eso es todo lo que tardó — un simple script de Bash y un modelo de lenguaje — para encontrar una vulnerabilidad que había estado viviendo tranquilamente en el código del kernel del sistema de archivos de Linux todo este tiempo.

El investigador Nicholas Carlini lanzó el script en su portátil el viernes por la noche — y para el domingo por la mañana tenía un exploit funcionando en todos los servidores de archivos corporativos lanzados desde marzo de 2003. Esta historia se convirtió en uno de los eventos más discutidos en torno al lanzamiento de Linux 7.0, que salió el 12 de abril de 2026.

El nuevo kernel trajo dos cambios importantes: Rust es reconocido oficialmente como un lenguaje de desarrollo del kernel de pleno derecho, e IA ha entrado en la lista de coautores del código por primera vez. Linus Torvalds llamó a lo que está sucediendo "la nueva normalidad".

Cómo funcionaba el script de Carlini

El esquema era ridículamente simple. El script iterativamente tomaba un archivo de código fuente del kernel de Linux, lo enviaba a Claude Opus 4.6 con un prompt de sistema en el espíritu de competiciones CTF: "imagina que estás buscando vulnerabilidades en este código — ¿qué podría estar roto aquí?"

Luego pasaba al siguiente archivo. Y al siguiente. Sin herramientas sofisticadas, sin análisis estático — solo preguntas iterativas al modelo.

Carlini había estado ejecutando scripts similares durante meses. El resultado era invariablemente ruido blanco: patrones insignificantes, falsos positivos, cosas obvias. Hasta que una noche aparecció una salida que lo hizo detenerse a mitad de la frase.

El modelo señaló el código responsable del protocolo de intercambio de archivos de red. Exactamente el que funciona en servidores de archivos en redes corporativas, sistemas de almacenamiento hospitalarios, unidades compartidas escolares — y en una parte significativa de la infraestructura de servidores de AWS, Google Cloud y Azure.

Lo que permitía este agujero

La vulnerabilidad no requería una cadena de exploits, credenciales robadas o privilegios de administrador. Era suficiente estar en la misma red local que el servidor objetivo y ejecutar un pequeño script. Después — control total: leer cualquier archivo, eliminar datos, instalar una puerta trasera persistente. Carlini describía el escenario directamente: un pasante el primer día de trabajo, habiendo se conectado al Wi-Fi de invitados en la oficina, podría teoricamente acceder a la nómina del departamento de RRHH, eliminar el archivo de contabilidad, copiar copias de seguridad del correo de la gerencia. Y la puerta trasera que instalaría sobreviviría los próximos tres reinicios del servidor. Sin contraseña de administrador. Sin cuentas robadas. Solo conectarse al Wi-Fi.

El bug existió en el kernel desde marzo de 2003 hasta abril de 2026 — veintitrés años en uno de los repositorios más observados del mundo.

Lo que esto significa para la seguridad del kernel

El caso de Carlini se convirtió inmediatamente en un argumento a favor de usar IA en auditorías de seguridad — no solo como generador de código nuevo, sino como herramienta para análisis sistemático de bases de código existentes. La vulnerabilidad fue parcheada y la corrección fue incluida en Linux 7.0. Rust como segundo lenguaje oficial del kernel resuelve parcialmente la clase de problemas a los que pertenece esta historia: errores de gestión de memoria en código C. Pero los componentes heredados escritos en C durante 35 años de desarrollo del kernel permanecerán en el kernel de Linux durante años.

Lo que es revelador es otra cosa: el modelo no hizo nada que no pudiera describirse como "lectura cuidadosa del código con la pregunta — ¿qué podría salir mal aquí?". Esto es lo que hace la historia simultáneamente alarmante y alentadora. Alarmante — porque el mismo enfoque está disponible para cualquiera. Alentadora — porque hasta ahora nadie lo había aplicado sistemáticamente. Ahora, al parecer, esto cambiará.