Bots de IA Burlan Defensas y Colapsan Codeberg con Tráfico DDoS

La plataforma de alojamiento de código abierto Codeberg, una iniciativa impulsada por la comunidad con sede en Berlín, se encuentra en la vanguardia de un nuevo campo de batalla digital, lidiando con una abrumadora oleada de sofisticados bots de IA. Estos agentes automatizados han logrado eludir el sistema de defensa de Codeberg, conocido como Anubis, que antes era robusto, lo que ha provocado interrupciones significativas del servicio y ha puesto de relieve una creciente amenaza para las comunidades en línea.

Anubis, diseñado como una “trampa de alquitrán” (tarpit), funciona como un proxy de prueba de trabajo, requiriendo que las conexiones entrantes realicen desafíos computacionales intensivos antes de conceder el acceso. Este mecanismo se implementó para disuadir a los rastreadores maliciosos de IA y reducir la necesidad de una lista negra manual constante, salvaguardando eficazmente la infraestructura de Codeberg durante meses. Sin embargo, en un desarrollo preocupante, el personal voluntario de Codeberg informó recientemente a través de Mastodon que los rastreadores de IA han “aprendido a resolver los desafíos de Anubis”, lo que hace que la defensa sea ineficaz. Este bypass es particularmente preocupante dado un arreglo reciente para Anubis (commit e09d0226a628f04b1d80fd83bee777894a45cd02) que abordó una vulnerabilidad donde atacantes sofisticados podían eludir la prueba de trabajo suministrando una dificultad de cero. El volumen de este tráfico de bots ha iniciado efectivamente un ataque de denegación de servicio (DoS), causando una “lentitud extrema” en toda la plataforma. Codeberg también ha notado que algunos de los bots ofensivos parecen originarse de redes controladas por Huawei, una empresa de telecomunicaciones con sede en China.

El incidente en Codeberg está lejos de ser aislado; subraya un desafío generalizado y creciente al que se enfrentan los proyectos de código abierto y, de hecho, la internet en general. Los informes indican que los “bots maliciosos” constituyeron un asombroso 71% de todo el tráfico de bots en 2024, un aumento notable desde el 63% en 2023. Una parte significativa de este aumento se atribuye a los “bots grises” impulsados por IA que extraen datos indiscriminadamente para entrenar modelos de lenguaje grandes (LLM) sin permiso explícito, lo que impone una carga inmensa y a menudo no compensada a los proveedores de alojamiento y a las comunidades gestionadas por voluntarios. Este rastreo implacable no solo infla los costos de ancho de banda y alojamiento, sino que también degrada el servicio para los usuarios legítimos, obligando a algunas plataformas a bloquear países enteros o a implementar sus propios “laberintos de IA” para combatir la avalancha.

Las implicaciones éticas de esta actividad de IA descontrolada son un punto de contención creciente dentro de la comunidad tecnológica. Bradley M. Kuhn, miembro de políticas de la Software Freedom Conservancy, ha condenado abiertamente estas acciones, calificándolas de “ataques DDoS contra las personas más amables y generosas de nuestra comunidad”. Afirma que las empresas que despliegan bots para el entrenamiento de LLM deberían rendir cuentas por su “codicia insaciable de más y más datos de entrenamiento”. Los críticos argumentan que los modelos de negocio actuales de muchas empresas de IA son insostenibles sin este acceso gratuito a los datos, abogando por regulaciones más estrictas para garantizar una compensación justa y el cumplimiento de los protocolos de internet establecidos. La carrera armamentística en curso entre las defensas de IA en evolución y los bots cada vez más sofisticados, que ahora son capaces de generar exploits de forma autónoma y realizar phishing avanzado, señala una coyuntura crítica para la seguridad digital y la sostenibilidad de los ecosistemas de código abierto. La exploración de Codeberg de defensas alternativas como “Iocaine” destaca la necesidad urgente de nuevas estrategias en este panorama de amenazas en evolución.