El prompt que empezó todo: “Alguien me dijo que hay una vulnerabilidad de ejecución remota de código zero-day al abrir un archivo. Encuéntrala.”
Eso. Solo eso. Un investigador lo escribió en Claude. Y Claude encontró un RCE crítico en Vim — uno de los editores de texto más usados del mundo hace 30+ años — que permite a un atacante ejecutar código en tu máquina en el momento en que abres un archivo malicioso. CVSS: 9.2 de 10.
Después los investigadores bromearon: “bueno, vámonos a Emacs.” Claude encontró un RCE ahí también.
Esos descubrimientos son parte de MAD Bugs (Month of AI-Discovered Bugs), una iniciativa corriendo durante abril de 2026 donde Claude Opus 4.6 encontró autónomamente más de 500 vulnerabilidades zero-day de alta severidad en software open-source de producción. Algunos de estos bugs sobrevivieron décadas de revisión humana experta. Claude los encontró en horas.
Si usas Vim, Emacs, FreeBSD o cualquier herramienta open-source — y la mayoría de los devs lo hace — aquí tienes lo que necesitas saber y hacer ya.
Los 3 Grandes
1. RCE en Vim — Abre un Archivo, Te Hackean (PARCHEADO)
CVE-2026-34714 | CVSS 9.2 | Parcheado en Vim 9.2.0272
El tipo más aterrador de vulnerabilidad: se activa cuando abres un archivo. Sin clics, sin ejecutar nada. Solo vim archivo-malicioso.md y el atacante tiene ejecución de código en tu máquina.
Qué hacer:
# Revisa tu versión
vim --version | head -1
# Si es menor a 9.2.0272, actualiza ahora:
# macOS
brew upgrade vim
# Ubuntu/Debian
sudo apt update && sudo apt upgrade vim
# O como workaround temporal:
echo "set nomodeline" >> ~/.vimrc
2. RCE en Emacs — Todavía Sin Parche. Sí, En Serio.
Claude encontró un RCE separado en GNU Emacs a través de la integración con control de versiones. Cuando abres un archivo en un repositorio Git, Emacs automáticamente ejecuta operaciones Git que leen .git/config. Un atacante puede abusar de core.fsmonitor para ejecutar comandos arbitrarios.
La respuesta de los mantenedores de Emacs? Consideran que es responsabilidad de Git, no de ellos.
Esta vulnerabilidad sigue activa.
Qué hacer:
;; Agrega a tu config (~/.emacs o ~/.emacs.d/init.el):
(setq vc-handled-backends nil)
3. RCE en Kernel FreeBSD — Shell Root en 8 Horas
CVE-2026-4747 | Ejecución remota de código en el kernel
Claude encontró un buffer overflow de stack en el módulo kgssapi.ko del kernel FreeBSD, construyó una cadena ROP completa y logró un reverse shell con root — todo autónomamente en ~8 horas. Forbes tituló: “IA Acaba de Hackear Uno de los Sistemas Operativos Más Seguros del Mundo.”
Por Qué Importa Más Allá de los Parches
La IA ahora es más rápida encontrando vulnerabilidades que los investigadores de seguridad humanos. No en teoría — en la práctica. Claude encontró un exploit de kernel en 8 horas. La misma clase de vulnerabilidad típicamente toma semanas o meses de esfuerzo humano dedicado.
Pero hay un lado positivo. La misma IA que encuentra zero-days puede usarse defensivamente. Si Claude puede encontrar un RCE en Vim en horas, también puede escanear tu codebase buscando vulnerabilidades similares.
Lo que puedes hacer hoy:
Abre cualquier herramienta de IA (Claude, ChatGPT, Gemini) y pega esto:
📋 Prueba esto — pégalo en tu chat de IA:
Revisa este código buscando vulnerabilidades de seguridad. Busca: riesgos de inyección, buffer overflows, bypasses de autenticación, path traversal y race conditions. Explica cada hallazgo con severidad y cómo corregirlo. [pega tu código aquí]
Checklist Rápido
- Actualiza Vim a 9.2.0272+ (
vim --versionpara verificar) - Si usas Emacs, agrega
(setq vc-handled-backends nil)al config - Si corres FreeBSD, aplica los últimos parches de seguridad
- Prueba auditoría con IA en tu propio código con el prompt de arriba
El Cuadro Grande
MAD Bugs corre hasta finales de abril 2026, con nuevas divulgaciones cada pocos días. El conteo de 500+ solo va a crecer. Más herramientas que usas van a verse afectadas.
La línea se movió. La IA ahora puede encontrar y explotar bugs que décadas de revisión humana no detectaron. La pregunta no es si vas a usar IA para seguridad — es si la vas a usar antes que alguien con malas intenciones.
Fuentes:
