Volver al blog
NoticiasCiberseguridadIAOpen Source

Basalt: un equipo purple de agentes de IA de código abierto que demuestra vulnerabilidades por ejecución

Basalt: un equipo purple de agentes de IA de código abierto que demuestra vulnerabilidades por ejecución

Basalt es de código abierto (licencia MIT). Míralo en GitHub → github.com/Arkessiah/Basalt

Los escáneres de seguridad con IA tienen un problema de confianza

La mayoría de "escáneres de seguridad con IA" te entregan una lista de posibles bugs que un modelo cree haber encontrado. Sigues teniendo que comprobarlos uno a uno a mano. Eso es ruido, no seguridad.

Basalt demuestra los hallazgos por ejecución, no por opinión

Basalt es una herramienta de código abierto donde un equipo purple de agentes de IA audita el código, y un hallazgo solo se marca como confirmado cuando su prueba de concepto se reproduce por ejecución en un sandbox aislado y sin red — o coincide con una base de datos de vulnerabilidades autorizada. Cada hallazgo lleva una procedencia honesta: probado por herramienta, coincidencia OSV, coincidencia de patrón o afirmado por el modelo. Y cada informe muestra el embudo de verificación completo —de N candidatos a los pocos que de verdad se reproducen— para que veas el filtrado, no solo las conclusiones.

Cómo funciona

El pipeline corre por fases: recon mapea la superficie de ataque; varios agentes red independientes buscan vulnerabilidades y escriben un exploit ejecutable, con voto por consenso para filtrar alucinaciones; un juez purple escéptico exige una prueba creíble; la ejecución reproduce esa prueba en un sandbox Docker aislado —el hallazgo se confirma solo si el exploit realmente se dispara—; y por último un agente blue propone un parche mínimo que un evaluador valida por ejecución (build en verde, exploit cerrado, sin regresiones).

Qué es sólido hoy

Los escáneres deterministas son estables y útiles por sí solos: detección de N-day en dependencias contra OSV.dev, alcanzabilidad en Go vía govulncheck y detección de secretos hardcodeados multi-lenguaje (nunca guarda el valor del secreto). Cubre Python, Go, TypeScript/JavaScript, Rust y Solidity, y está pensado para CI con códigos de salida por severidad, auditorías solo de ficheros cambiados y estimación de coste. La vía de descubrimiento con LLM —encontrar bugs de lógica con el agente red— sigue en beta: verificada por ejecución, pero con cobertura y precisión aún madurando.

Abierto, honesto — y de cribado, no un sustituto de la auditoría manual

Basalt tiene licencia MIT y está disponible en PyPI como basalt-scan. Está diseñado como cribado automático, no como sustituto de una auditoría manual profesional de código que custodia fondos reales —justo el tipo de revisión profunda que hacemos en Obsidiaan para smart contracts y sistemas críticos—. Construir Basalt es parte de cómo impulsamos nuestra propia investigación en seguridad e IA.

Descúbrelo en github.com/Arkessiah/Basalt.