La codificación en 2025 no se trata de trabajar con fragmentos o pasar largas horas en depuración. Es un ambiente completo. Código generado por IA Es la mayoría de los códigos en los productos futuros y se ha convertido en un package de herramientas esencial para el desarrollador moderno. Conocido como “codificación de vibra”, el uso de código generado por herramientas como GitHub Copilot, Amazon Codewhisperer y Chat GPT será la norma y no la excepción para reducir el tiempo de compilación y el aumento de la eficiencia. ¿Pero la conveniencia del código generado por la IA arriesga una amenaza más oscura? ¿La IA generativa aumenta las vulnerabilidades en la arquitectura de seguridad o hay formas para que los desarrolladores “vibren código” en seguridad?
“Los incidentes de seguridad como resultado de vulnerabilidades en el código generado por IA son uno de los temas menos discutidos en la actualidad”, dijo Sanket Saurav, fundador de Deepsource. “Todavía hay mucho código generado por plataformas como Copilot o Chat GPT que no obtienen una revisión humana, y las infracciones de seguridad pueden ser catastróficas para las empresas afectadas”.
El desarrollador de una plataforma de código abierto que emplea un análisis estático para la calidad y seguridad del código, citó Saurav El pirateo de SolarWinds en 2020 Como el tipo de “evento de extinción” que las empresas podrían enfrentar si no han instalado las barandillas de seguridad adecuadas cuando usan código generado por IA. “El análisis estático permite la identificación de patrones de código inseguro y prácticas de codificación malas”, dijo Saurav.
Atacado a través de la biblioteca
Las amenazas de seguridad al código generado por IA pueden tomar formularios inventivos y pueden dirigirse a las bibliotecas. Las bibliotecas de programación son un código reutilizable útil que los desarrolladores usan para ahorrar tiempo al escribir.
A menudo resuelven tareas de programación regulares, como administrar interacciones de bases de datos y ayudar a los programadores a tener que reescribir el código desde cero.
Una de esas amenazas contra las bibliotecas se conoce como “alucinaciones”, donde el código generativo de IA muestra una vulnerabilidad mediante el uso de bibliotecas ficticias. Otra línea de ataques más reciente en código generado por IA se llama “slopsquatting” donde los atacantes pueden dirigirse directamente a las bibliotecas para infiltrarse en una base de datos.
Abordar estas amenazas de frente puede requerir más atención plena de lo que puede ser sugerido por el término “codificación de vibos”. Hablando desde su oficina en la Université du Québec en Outaouais, el profesor Rafael Khoury ha seguido de cerca los desarrollos en la seguridad del código generado por IA y confía en que las nuevas técnicas mejorarán su seguridad.
En un papel de 2023El profesor Khoury investigó los resultados de pedirle a ChatGPT que produzca código sin más contexto o información, una práctica que condujo a un código inseguro. Esos fueron los primeros días de chat GPT y Khoury ahora es optimista sobre el camino por delante. “Desde entonces, ha habido mucha investigación en revisión en este momento y el futuro está buscando una estrategia para usar el LLM que podría conducir a mejores resultados”, dijo Khoury, y agregó que “la seguridad está mejorando, pero no estamos en un lugar donde podemos dar un aviso directo y obtener un código seguro”.
Khoury continuó describiendo Un estudio prometedor donde generaron código y luego enviaron este código a una herramienta que lo analiza para las vulnerabilidades. El método utilizado por la herramienta se conoce como anomalías de línea de búsqueda con IA generativa (o indicador para abreviar).
“Estas herramientas envían banderas que pueden identificar una vulnerabilidad en la línea 24, por ejemplo, que un desarrollador puede enviar de vuelta a la LLM con la información y pedirle que la investigue y solucione el problema”, dijo.
Khoury sugirió que esto de ida y vuelta podría ser essential para arreglar el código que es weak al ataque. “Este estudio sugiere que con cinco iteraciones, puede reducir las vulnerabilidades a cero”.
Dicho esto, el método de la bandera no está exento de problemas, particularmente porque puede dar lugar a falsos positivos y falsos negativos. Además de esto, también hay límites en la longitud del código que LLMS puede crear y el acto de unir fragmentos juntos puede agregar otra capa de riesgo.
Manteniendo al humano en el bucle
Algunos jugadores dentro de “Vibe Coding” recomiendan el código de fragmentación y se aseguran que los humanos permanezcan al frente a la derecha y se centren en las ediciones más importantes de una base de código. “Al escribir código, piense en términos de compromisos”, dijo Kevin Hou, jefe de ingeniería de productos de Windsurf, ensalzando la sabiduría de las piezas del tamaño de un bocado.
“Rompe un proyecto grande en trozos más pequeños que normalmente serían comprometidos o aplastar solicitudes. Haga que el agente construya la escala más pequeña, una característica aislada a la vez. Esto puede garantizar que la salida del código esté bien probada y bien entendida”, agregó.
Al momento de escribir, Windsurf se ha acercado a más de 5 mil millones de líneas de código generado por IA (a través de su nombre anterior Codeium). Hou dijo que la pregunta más apremiante que respondían period si el desarrollador period consciente del proceso.
“La IA es capaz de hacer muchas ediciones en muchos archivos simultáneamente, entonces, ¿cómo podemos asegurarnos de que el desarrollador realmente esté comprendiendo y revisando lo que está sucediendo en lugar de simplemente aceptar a ciegas todo?” Hou preguntó, y agregó que habían invertido fuertemente en el UX de Windsurf “con un montón de formas intuitivas de mantenerse completamente en el paso de lo que está haciendo la IA y mantener al humano completamente al tanto”.
Por eso es como “codificación de ambientes“Se vuelve más convencional, los humanos en el bucle tienen que ser más cautelosos con sus vulnerabilidades. Desde” alucinaciones “hasta las amenazas de” despliegue “, los desafíos son reales, pero también lo son las soluciones.
Herramientas emergentes como el análisis estático, los métodos de refinamiento iterativo como la bandera y el diseño de UX reflexivo muestran que la seguridad y la velocidad no tienen que ser mutuamente excluyentes.
La clave radica en mantener a los desarrolladores comprometidos, informados y en management. Con las barandillas adecuadas y una mentalidad de “confianza pero verificar”, la codificación asistida por AI-AI puede ser revolucionaria y responsable.
