Investigadores del Systems Software & Security Lab (SSLab) de Georgia Tech alertan sobre un patrón llamado "vibe coding": el uso de herramientas generativas de inteligencia artificial que ha venido produciendo lotes de código con vulnerabilidades repetidas. Para analizarlo, el Vibe Security Radar examinó más de 43,000 avisos de seguridad públicos y rastreó el historial del código para identificar quién introdujo cada fallo. Si detecta la firma de una herramienta de IA, el caso queda marcado para revisión.
La herramienta confirmó 74 casos hasta ahora; 14 están etiquetados como críticos y 25 como de alta severidad. Entre las vulnerabilidades detectadas figuran inyección de comandos, bypass de autenticación y falsificación de solicitudes del lado del servidor (server-side request forgery). Los investigadores señalan que los modelos de IA tienden a repetir los mismos errores, de modo que millones de desarrolladores que usan los mismos modelos pueden propagar los mismos bugs en distintos proyectos.
El radar puede identificar metadatos como etiquetas de coautores, correos de bots y otras firmas conocidas, pero deja de ser eficaz si esos marcadores se eliminan. Por eso el equipo está desarrollando detección basada en comportamiento: el código generado por IA suele mostrar patrones en nombres de variables, estructura de funciones y manejo de errores, y los investigadores construyen modelos que identifiquen esos rasgos sin depender de metadatos.
- Tipos de vulnerabilidades detectadas: inyección de comandos, bypass de autenticación, SSRF.
Los datos también muestran un aumento rápido de casos en 2025–2026, y los investigadores advierten que la superficie de ataque crece a medida que los agentes de IA se vuelven más autónomos y capaces de crear funciones, archivos y decisiones de arquitectura. SSLab recomienda revisar la salida de IA con el mismo cuidado que un pull request de un desarrollador junior, prestar atención al manejo de entradas y autenticación, dar instrucciones más detalladas a la IA y usar herramientas para comprobar el código; no hacerlo, dicen, podría conducir a una catástrofe. Fuente: Georgia Tech.
Palabras difíciles
- vulnerabilidad — Falla en software que permite ataquesvulnerabilidades
- inyección de comandos — Técnica para ejecutar órdenes maliciosas remotas
- metadato — Información sobre el origen o contexto de un archivometadatos
- firma — Rastro identificable que deja una herramienta o autorfirmas
- detección — Proceso para encontrar problemas o patrones en datos
- superficie de ataque — Conjunto de puntos que un atacante puede explotar
- agente — Programa que actúa de forma autónoma en tareasagentes
Consejo: pasa el cursor, enfoca o toca las palabras resaltadas en el artículo para ver definiciones rápidas mientras lees o escuchas.
Preguntas de discusión
- ¿Qué medidas prácticas podrías tomar en tu equipo para evitar vulnerabilidades generadas por IA?
- ¿Qué ventajas y riesgos ves en que agentes de IA más autónomos creen funciones y decisiones de arquitectura?
- ¿Crees que la detección basada en comportamiento bastará para identificar código generado por IA? ¿Por qué sí o por qué no?
Artículos relacionados
Informe: alianza de grandes empresas limita a agricultores
Un informe de IPES-Food, publicado el miércoles (25 February), alerta que la estrecha alianza entre grandes empresas agrícolas y tecnológicas dificulta el acceso de agricultores de pequeña escala a herramientas digitales modernas.
Redes sociales y venta ilegal de carne de monte
Un estudio advierte que las redes sociales podrían aumentar la venta ilegal de carne de monte y amenazar la biodiversidad. Los investigadores analizaron anuncios en Facebook y describen tácticas que dificultan la detección y la regulación.
Nuevo método mejora la ecografía para diferenciar masas mamarias
Investigadores desarrollan un método de procesamiento de ultrasonido que distingue quistes con líquido de masas sólidas en ecografías. En pruebas clínicas, la técnica aumentó la identificación correcta de las masas y recibió financiación federal.
7amleh: la UE y la exportación de IA que afecta derechos humanos
7amleh concluye que las normas europeas sobre inteligencia artificial no controlan bien la tecnología cuando sale de la UE. Dinero y productos europeos llegan a gobiernos y fuerzas en WANA con poca responsabilidad vinculante en derechos humanos.
Nuevas herramientas digitales dan más control a los agricultores
En el foro virtual ICTforAg (9-10 de marzo) expertos explicaron que tecnologías como Web3 y herramientas como FarmStack pueden dar a los agricultores más control sobre sus datos y mejorar servicios en países en desarrollo.