La codificación generada por IA ‘Vibe Coding’ plantea nuevos riesgos de seguridad en la cadena de suministro de software
Puntos clave
- Los desarrolladores utilizan la codificación generada por IA ‘vibe coding’ para acelerar la creación de software.
- Los modelos de IA a menudo se entrenan en código obsoleto o inseguro, reintroduciendo vulnerabilidades conocidas.
- La falta de historiales de compromiso hace que sea difícil rastrear los orígenes del código y la responsabilidad.
- Una encuesta encontró que más del 60 % del código en muchas empresas ahora proviene de IA, pero solo el 18 % tienen herramientas aprobadas.
- Los expertos en seguridad advierten que las poblaciones vulnerables pueden soportar el peso de los nuevos riesgos.
- Llamadas a la revisión humana, listas de herramientas aprobadas y una gobernanza más fuerte para mitigar las amenazas.
Los desarrolladores están recurriendo cada vez más a la codificación generada por IA, llamada ‘vibe coding’, para acelerar la creación de software. Aunque este enfoque refleja la eficiencia de la reutilización de código de código abierto, los expertos advierten que introduce código opaco, posibles vulnerabilidades y una responsabilidad debilitada.
El código impulsado por IA se convierte en el nuevo atajo
Los ingenieros de software están adoptando una práctica conocida como ‘vibe coding’, donde los grandes modelos de lenguaje (LLM) generan fragmentos de código que los desarrolladores pueden adaptar rápidamente. Esto refleja la larga dependencia de las bibliotecas de código abierto, ofreciendo velocidad y reducción de esfuerzo para la construcción de aplicaciones.
Los expertos en seguridad lanzan alarmas
Los investigadores advierten que la codificación por ‘vibe coding’ agrega una capa de opacidad a las cadenas de suministro de software. Debido a que los modelos de IA se entrenan en código existente, incluyendo repositorios legados, vulnerables o de baja calidad, las mismas debilidades pueden reaparecer en el código generado recientemente. La falta de historiales de compromiso transparentes o registros de solicitudes de extracción, que son estándar en plataformas como GitHub, hace que sea difícil rastrear quién contribuyó con qué y si el código ha sido auditado.
Una encuesta revela una adopción generalizada de código de IA
Una encuesta reciente de directores de seguridad de la información, gerentes de seguridad de aplicaciones y jefes de desarrollo informó que un tercio de los encuestados dijo que más del 60 % del código de su organización fue generado por IA. A pesar de esta alta tasa de adopción, solo el 18 % dijo que su organización mantiene una lista aprobada de herramientas para la codificación por ‘vibe coding’, lo que indica una brecha en la gobernanza.
Impacto potencial en usuarios vulnerables
Los líderes de la industria señalan que, si bien las herramientas generadas por IA pueden reducir las barreras para las pequeñas empresas y las poblaciones desatendidas, las implicaciones de seguridad pueden afectar desproporcionadamente a aquellos que carecen de recursos para remediar las vulnerabilidades. La facilidad de crear código funcional podría exponer inadvertidamente a los sistemas críticos a riesgos.
Llamadas a nuevas salvaguardias
Los profesionales de la seguridad abogan por un manejo de ciclo de vida más fuerte, que incluya la revisión humana del código generado por IA, mecanismos de responsabilidad claros y el desarrollo de cadenas de herramientas aprobadas. Sin tales medidas, los desafíos de seguridad de la cadena de suministro de software planteados por la codificación por ‘vibe coding’ podrían reflejar o superar aquellos ya vistos con los componentes de código abierto.