Expertos en ciberseguridad advierten sobre graves fallas en código generado por IA
Diversas herramientas de “vibe coding”, como Claude Code de Anthropic, están inundando el software con nuevas vulnerabilidades, según han advertido investigadores de diversas firmas y universidades. Al menos 35 nuevas entradas de vulnerabilidades y exposiciones comunes o CVE, han sido divulgadas en el mes de marzo de este año, como resultado directo de código generado por inteligencia artificial.
Esto representa un aumento significativo con respecto a las seis registradas en enero y otras 15 en el mes de febrero. Dichas vulnerabilidades están siendo rastreadas como parte del proyecto llamado “Vibe Security Radar”, que ha sido iniciado en el mes de mayo de 2025 por parte de diversos laboratorios se seguridad y software de sistemas, el cual pertenece a varias escuelas de ciberseguridad de múltiples universidades.
El objetivo de este proyecto es monitorizar las vulnerabilidades introducidas de forma directa por herramientas de programación con IA, las cuales logran entrar en avisos públicos, tales como CVE.org, varias bases de datos en países como Estados Unidos, la base de datos de GitHub, Open Source Vulnerabilites u OSV y otras firmas similares.
En declaraciones para diversos medios digitales, los fundadores del Vibe Security Radar, han afirmado que todo el mundo dice que el código generado por IA es inseguro, pero nadie lo está rastreando realmente. Las personas quieren números reales, sin bancos de pruebas ni casos hipotéticos, se buscan vulnerabilidades reales que puedan afectar a usuarios reales.
Enfatizaron también que este trabajo de rastreo es fundamental ahora que cada vez más personas han declarado que se encuentran programando mediante “vibe coding”proyectos enteros que envían directamente a producción. Siendo realistas, incluso los equipos que realizan revisiones de código no van a ser capaces de detectarlo todo cuando la mitad de la base de dicho código ha sido generada por una máquina, añadieron con preocupación.
TIC Defense es una empresa que se enfoca en proveer herramientas y productos de alta tecnología, las cuales aumentan las defensas informáticas de tu organización. Además, nuestros servicios se adaptan a las necesidades de las compañías vulnerables.
Los expertos han afirmado que sus equipos siguen la pista a aproximadamente 50 herramientas de programación asistidas por IA, incluyendo nombres como Claude Code, GitHub Copilot, Cursor, Devin, Amazon W, Google Jules, entre otros.
Para poder desarrollar el tablero de control del Vibe Security Radar, los investigadores primero extraen información de las bases de datos públicas de vulnerabilidades, localizan el commit que ha solucionado cada falla y después rastrean hacia atrás, para encontrar quién introdujo el error en primer lugar.
Si ese commit tiene la firma de una herramienta de inteligencia artificial, como una etiqueta de coautor o con un correo electrónico de bot, se marca de una vez, han explicado los expertos a medios digitales.
Igualmente, los equipos utilizan agentes de IA para comprender la causa raíz de cada vulnerabilidad y determinar si el código generado por dicha IA ha contribuido a ella. Los agentes tienen acceso al repositorio Git real y al historial de commits, por lo que pueden realizar una investigación auténtica, no solo una simple comparación de patrones, señalaron.
De los 74 casos confirmados de CVE que se debieron directamente al uso de herramientas de programación con IA, Claude Code ha sido el que más apareció, pero los expertos observaron que esto se debe, principalmente, a que la herramienta de Anthropic siempre deja una firma.
