• 3 min de lectura
Capital One publica VulnHunter como código abierto para la seguridad del código
Capital One ha publicado como código abierto VulnHunter, una herramienta de seguridad de código con capacidad de agente que rastrea rutas de explotación y propone correcciones respaldadas por evidenci

Imagen: Hacker News
Capital One está lanzando VulnHunter, una herramienta de seguridad de código con capacidad de agente y de código abierto diseñada para analizar el código fuente desde la perspectiva de un atacante. La compañía anunció el lanzamiento el 16 de julio de 2026, argumentando que los modelos de IA avanzados están haciendo más rápido y barato que los atacantes descubran y exploten vulnerabilidades de software.
Las protecciones tradicionales como la segmentación de la red, los controles de identidad y la monitorización siguen siendo necesarias, dijo Capital One, pero ya no son suficientes por sí solas. VulnHunter está pensado para ayudar a los defensores a encontrar y corregir defectos explotables antes de que los adversarios puedan usar modelos avanzados en su contra.
Cómo VulnHunter analiza el código
A diferencia de un escáner de vulnerabilidades pasivo, VulnHunter utiliza un flujo de trabajo de razonamiento basado en agentes para identificar defectos potencialmente explotables, mapear rutas de ataque y proponer remediaciones de código dirigidas. Su diseño se centra en tres capacidades:
- Un motor de falsificación: Tras identificar un hallazgo, la herramienta intenta refutar su propia conclusión buscando supuestos no fundamentados, lagunas lógicas y condiciones que impedirían un ataque. Los hallazgos que no superan este proceso se descartan.
- Análisis hacia adelante centrado en el atacante: En lugar de comenzar por un «sink» potencialmente peligroso y razonar hacia atrás, VulnHunter parte de puntos de entrada accesibles para un atacante, como APIs, mensajes de red o cargas de archivos. A continuación sigue la lógica de la aplicación, las transformaciones de datos y los puntos de control de seguridad internos para evaluar si un ataque puede realmente tener éxito.
- Modelado de remediación respaldado por evidencia: Para los hallazgos que superan el proceso de falsificación, VulnHunter recopila evidencia a lo largo de la base de código, explica el defecto y las capacidades potenciales del atacante, y genera cambios de código concretos para la revisión de ingeniería.
Capital One dijo que construyó VulnHunter pensando en la experiencia del desarrollador. El objetivo declarado de la compañía es reducir la carga de clasificar falsas alarmas y centrar a los desarrolladores en reparaciones inmediatas respaldadas por evidencia, en lugar de procesos de seguridad rígidos que no encajan en sus flujos de trabajo diarios.
Validación interna y publicación como código abierto
Antes de publicar la herramienta, Capital One ejecutó VulnHunter en su propio código. La compañía dijo que identificó y corrigió vulnerabilidades en miles de repositorios que abarcan decenas de áreas de negocio, produciendo hallazgos verificados y accionables más rápido que los flujos de trabajo previos que requerían un triaje manual significativo.

Recomendado
Los carders buscan proxies residenciales «limpios»
Capital One está liberando el proyecto como código abierto bajo la licencia Apache 2.0, citando la naturaleza interconectada de las cadenas de suministro de software modernas. La compañía afirmó que una vulnerabilidad en un componente de código abierto muy utilizado puede afectar a miles de empresas, y que las herramientas defensivas deben distribuirse, probarse y mejorarse de forma amplia.
El lanzamiento permite que las comunidades de seguridad y de desarrolladores inspeccionen el flujo de trabajo de VulnHunter, cuestionen sus supuestos y contribuyan con mejoras.
Requisitos y repositorio
VulnHunter está disponible ahora en github.com/capitalone/vulnhunter. Ejecutarlo requiere acceso a Claude Opus 4.8 y un entorno operativo de Claude Code. El repositorio incluye una guía de inicio rápido, documentación de arquitectura, flujos de trabajo de ejemplo anotados, limitaciones conocidas y una hoja de ruta de desarrollo activa.
La implementación inicial del proyecto es una skill de Claude Code, y su optimización de modelos apunta a Claude Opus 4.8. Capital One dijo que el marco y las skills también pueden usarse en otros entornos de codificación y modelos base. Las contribuciones, incluidos informes de errores, cambios en los flujos de razonamiento y soporte ampliado de modelos, están cubiertas en CONTRIBUTING.md.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía Hacker News


