Auge de la codificación de IA abruma a los equipos de seguridad y crea un nuevo riesgo
Puntos clave
- Las herramientas de codificación de IA pueden aumentar la producción de código mensual hasta diez veces.
- Una empresa de servicios financieros generó un atraso de un millón de líneas no revisadas.
- La escasez de ingenieros de seguridad de aplicaciones deja a las empresas vulnerables.
- Los desarrolladores a menudo ejecutan herramientas de IA en laptops personales, lo que supone un riesgo de exposición de datos.
- Anthropic, OpenAI y Cursor están agregando características de revisión de código automatizadas.
- Un script escrito por IA causó un apagón importante en Amazon, lo que destaca los riesgos.
Los asistentes de codificación de IA han acelerado dramáticamente la producción de software, pero el aumento de velocidad supera los recursos de seguridad. Una empresa de servicios financieros que utiliza la herramienta Cursor vio aumentar la producción de código mensual de 25.000 a 250.000 líneas, creando un atraso de un millón de líneas no revisadas. Los expertos en seguridad advierten que la escasez de ingenieros de seguridad de aplicaciones deja a las empresas expuestas a vulnerabilidades, especialmente cuando los desarrolladores descargan código completo en laptops personales. Empresas como Anthropic, OpenAI y Cursor están trabajando para incorporar características de revisión automatizada, pero la supervisión humana sigue siendo esencial.
Cuando una empresa de servicios financieros reemplazó las prácticas de desarrollo tradicionales por el asistente de codificación de IA Cursor, su producción de código explotó. La producción mensual de líneas de código aumentó de aproximadamente 25.000 a 250.000, un aumento de diez veces que inicialmente sonó como un triunfo. Dentro de semanas, la empresa enfrentó un atraso de aproximadamente un millón de líneas de código que nunca habían sido revisadas para errores o fallos de seguridad.
"La cantidad de código entregado y el aumento de vulnerabilidades es algo que no pueden mantener", dijo Joni Klippert, CEO de StackHawk, una startup de seguridad que asiste a la empresa. El rápido aumento de código no verificado se ha convertido en un riesgo sistémico en Silicon Valley, donde muchas organizaciones ahora generan más software que su personal de seguridad puede examinar.
Los ingenieros de seguridad de aplicaciones, profesionales encargados de detectar errores en el código generado por IA, son escasos. "No hay suficientes ingenieros de seguridad de aplicaciones en el planeta para satisfacer lo que las empresas estadounidenses necesitan", advirtió Joe Sullivan, asesor de Costanoa Ventures. La brecha de talento significa que incluso cuando los volúmenes de código aumentan, la fuerza laboral capaz de protegerlo sigue estancada.
Más allá de la dotación de personal, la forma en que se despliegan las herramientas de IA crea peligros adicionales. Los desarrolladores a menudo ejecutan los modelos en laptops personales en lugar de servidores corporativos seguros, descargando código completo en dispositivos que pueden ser perdidos o robados. Una sola laptop perdida podría exponer datos sensibles junto con el código generado recientemente.
Reconociendo la amenaza inminente, varias empresas de IA han comenzado a incorporar capacidades de revisión de código directamente en sus plataformas. Anthropic, OpenAI y Cursor están trabajando en controles de seguridad automatizados. Cursor adquirió recientemente una startup especializada en revisión de código para integrar esas funciones en su suite de productos. "La fábrica de desarrollo de software se rompió. Estamos tratando de reorganizar las piezas", dijo el jefe de ingeniería de Cursor.
Sin embargo, los expertos advierten que los revisores impulsados por IA no son una panacea. La supervisión humana sigue siendo crítica antes de que cualquier código llegue a producción. Las apuestas se subrayaron cuando un script escrito por IA causó un apagón en Amazon, lo que resultó en más de 100.000 pedidos perdidos y 1,6 millones de errores. Ninguna empresa quiere repetir ese escenario, y la industria todavía está tratando de equilibrar velocidad y seguridad.