El «Vibe Coding» y sus Riesgos para la Seguridad del Software
La industria del desarrollo de software se encuentra en un punto de inflexión. Al igual que pocos se dedican a cultivar y moler su propio trigo para hacer pan, la mayoría de los desarrolladores actuales no escriben cada línea de código desde cero. En lugar de reinventar la rueda, recurren a bibliotecas existentes, a menudo proyectos de código abierto, para construir sus aplicaciones. Este enfoque, aunque eficiente, puede generar ciertas vulnerabilidades.
Ahora, una nueva tendencia, el llamado "vibe coding", está ganando terreno. Esta práctica, que se basa en el uso de inteligencia artificial (IA) para generar código de manera rápida y adaptable, plantea nuevas interrogantes sobre la seguridad de la cadena de suministro de software.
El Peligro de la IA como Generadora de Código Inseguro
Alex Zenla, director de tecnología de la empresa de seguridad en la nube Edera, advierte que "estamos llegando a un lugar en el que la IA está a punto de perder su período de gracia en materia de seguridad". La preocupación radica en que la IA, al ser entrenada con grandes cantidades de datos, puede incorporar software antiguo, vulnerable o de baja calidad. Esto podría resultar en la reaparición de viejas vulnerabilidades y la introducción de nuevas.
Además, el "vibe coding" genera un borrador de código que podría no considerar completamente el contexto específico del producto o servicio. Aunque se entrene a un modelo local con el código fuente de un proyecto y una descripción en lenguaje natural, la detección de posibles fallos o incongruencias dependerá, en última instancia, de la capacidad de los revisores humanos. Imagínese, como dejar que un loro escriba un contrato: quizás suene convincente, pero seguro le falta la letra chica.
La Importancia de la Supervisión Humana en la Era del «Vibe Coding»
Eran Kinsbruner, investigador de la empresa de seguridad de aplicaciones Checkmarx, enfatiza la necesidad de repensar el ciclo de vida del desarrollo en la era del "vibe coding". "Si le pides al mismo modelo LLM que escriba para tu código fuente específico, cada vez tendrá un resultado ligeramente diferente", explica. "Un desarrollador del equipo generará un resultado y el otro obtendrá otro distinto. Así que eso introduce una complicación adicional más allá del código abierto". Es como pedir dos empanadas criollas al mismo cocinero: nunca saldrán exactamente iguales, y una podría estar quemada.
Una encuesta realizada por Checkmarx a directores de seguridad de la información, gerentes de seguridad de aplicaciones y jefes de desarrollo reveló que un tercio de los encuestados señaló que más del 60% del código de su organización fue generado por IA en 2024. Sin embargo, solo el 18% indicó que su organización tiene una lista de herramientas aprobadas para el "vibe coding". Esta disparidad entre la adopción de la IA y la gestión de los riesgos asociados es un motivo de preocupación creciente en la industria.
