Els models d’IA ja no només escriuen codi: també troben fallades en el que ja existeix. El 16 de juny de 2026, Lech Sandecki, de Canonical, va publicar un article al blog d’Ubuntu on explica com això està canviant la seguretat i què pensa fer l’empresa al respecte. El títol, “Beyond Mythos”, fa referència a Mythos, un model de frontera que apareix citat al costat de GPT-5.5 i models de pesos oberts com a exemples d’eines que estan accelerant el descobriment de vulnerabilitats.
La idea de fons és senzilla i una mica incòmoda. Durant anys, moltes fallades de seguretat van sobreviure a la revisió humana perquè revisar codi a mà té límits. Ara la IA està traient a la llum el que Sandecki anomena “N-days” i errors de lògica heretats que feia temps que dormien en bases de codi antigues. L’article també esmenta Project Glasswing, una iniciativa de seguretat en què Canonical aclareix que no participa de manera directa.
Què canvia per a Ubuntu
Si la IA troba fallades més de pressa, la resposta ha de ser igual de ràpida. Canonical diu que prepara, prova i publica les actualitzacions de seguretat més crítiques en 24 hores de mitjana. Aquest ritme sosté bona part de l’argument: de poc serveix descobrir una fallada en hores si el pegat triga setmanes a arribar.
L’estratègia es recolza en una arquitectura de defensa en profunditat i en l’adhesió estricta a la Divulgació Coordinada de Vulnerabilitats (CVD), el procés pel qual qui troba una fallada la comunica de manera reservada per donar temps a corregir-la abans de fer-la pública. Un punt que Sandecki remarca: Canonical no prioritza les correccions per la puntuació CVSS en brut. El que importa és l’impacte real de l’amenaça, no un número. Un CVSS alt sobre un component que gairebé ningú exposa pot esperar; una fallada modesta en una cosa que és a tot arreu, no.
Per organitzar la feina, l’article agrupa els paquets per nivells. A la base crítica hi ha el kernel, glibc, OpenSSL, systemd, sudo, PAM i els runtimes de contenidors. Al nivell d’infraestructura i orquestració, snapd, AppArmor, cloud-init, LXD, MAAS, Juju i MicroK8s. Són els components que, si cauen, arrosseguen tota la resta.
Les eines que redueixen el mal
Pegar de pressa és una part. L’altra és contenir el codi que encara no s’ha pegat. Aquí entren AppArmor, que posa límits a nivell de kernel, i LXD, que aïlla càrregues en contenidors natius, a més del confinament dels snaps. La lògica és que, encara que una fallada existeixi, el seu radi d’acció quedi acotat.
Canonical també aposta pels llenguatges segurs en memòria. L’article esmenta el suport de Rust als seus kernels i anima la comunitat a adoptar-lo, partint del fet que una gran part de les vulnerabilitats greus vénen d’errors de gestió de memòria que Rust evita per disseny.
Quan una fallada afecta el kernel i reiniciar no és una opció, hi ha Kernel Livepatch, que aplica correccions permanents en memòria sense reiniciar. I per als sistemes que necessiten viure molt de temps, Ubuntu Pro ofereix fins a 15 anys de manteniment de seguretat, una cosa que té sentit quan una màquina no es pot reinstal·lar cada dos anys.
Si vols veure com encaixa això amb la resta de novetats recents de la distribució, tens més context a la fitxa d’Ubuntu.
Font
Article original de Lech Sandecki al blog de Canonical: Beyond Mythos: responding to a new threat landscape. Contingut i dades atribuïts a Canonical.