Investigadores del Systems Software & Security Lab (SSLab) de Georgia Tech alertan sobre un patrón llamado "vibe coding": el uso de herramientas generativas de inteligencia artificial que ha venido produciendo lotes de código con vulnerabilidades repetidas. Para analizarlo, el Vibe Security Radar examinó más de 43,000 avisos de seguridad públicos y rastreó el historial del código para identificar quién introdujo cada fallo. Si detecta la firma de una herramienta de IA, el caso queda marcado para revisión.
La herramienta confirmó 74 casos hasta ahora; 14 están etiquetados como críticos y 25 como de alta severidad. Entre las vulnerabilidades detectadas figuran inyección de comandos, bypass de autenticación y falsificación de solicitudes del lado del servidor (server-side request forgery). Los investigadores señalan que los modelos de IA tienden a repetir los mismos errores, de modo que millones de desarrolladores que usan los mismos modelos pueden propagar los mismos bugs en distintos proyectos.
El radar puede identificar metadatos como etiquetas de coautores, correos de bots y otras firmas conocidas, pero deja de ser eficaz si esos marcadores se eliminan. Por eso el equipo está desarrollando detección basada en comportamiento: el código generado por IA suele mostrar patrones en nombres de variables, estructura de funciones y manejo de errores, y los investigadores construyen modelos que identifiquen esos rasgos sin depender de metadatos.
- Tipos de vulnerabilidades detectadas: inyección de comandos, bypass de autenticación, SSRF.
Los datos también muestran un aumento rápido de casos en 2025–2026, y los investigadores advierten que la superficie de ataque crece a medida que los agentes de IA se vuelven más autónomos y capaces de crear funciones, archivos y decisiones de arquitectura. SSLab recomienda revisar la salida de IA con el mismo cuidado que un pull request de un desarrollador junior, prestar atención al manejo de entradas y autenticación, dar instrucciones más detalladas a la IA y usar herramientas para comprobar el código; no hacerlo, dicen, podría conducir a una catástrofe. Fuente: Georgia Tech.
Palabras difíciles
- vulnerabilidad — Falla en software que permite ataquesvulnerabilidades
- inyección de comandos — Técnica para ejecutar órdenes maliciosas remotas
- metadato — Información sobre el origen o contexto de un archivometadatos
- firma — Rastro identificable que deja una herramienta o autorfirmas
- detección — Proceso para encontrar problemas o patrones en datos
- superficie de ataque — Conjunto de puntos que un atacante puede explotar
- agente — Programa que actúa de forma autónoma en tareasagentes
Consejo: pasa el cursor, enfoca o toca las palabras resaltadas en el artículo para ver definiciones rápidas mientras lees o audicións.
Preguntas de discusión
- ¿Qué medidas prácticas podrías tomar en tu equipo para evitar vulnerabilidades generadas por IA?
- ¿Qué ventajas y riesgos ves en que agentes de IA más autónomos creen funciones y decisiones de arquitectura?
- ¿Crees que la detección basada en comportamiento bastará para identificar código generado por IA? ¿Por qué sí o por qué no?
Artículos relacionados
Centros de datos y criptominería podrían aumentar precios y emisiones para 2030
Un estudio advierte que el crecimiento de centros de datos y la minería de criptomonedas puede elevar el costo de la electricidad y las emisiones en Estados Unidos hacia 2030. Los investigadores modelaron la respuesta del sistema eléctrico ante esa demanda.
La IA para frenar la publicidad de tabaco dirigida a jóvenes
En Dublín, expertos dijeron que la inteligencia artificial puede ayudar a impedir que las compañías de tabaco publiquen anuncios para jóvenes en redes sociales. Se mostraron ejemplos de herramientas que ya identifican y quitan contenidos y datos sobre medidas de salud.
