Redazione RHC : 2 agosto 2025 10:35
La inteligencia artificial se está convirtiendo cada vez más en un asistente para los programadores, pero un estudio de Veracode ha demostrado que la comodidad conlleva un riesgo de seguridad. Un análisis de 100 de los principales modelos de lenguaje (LLM) reveló un patrón alarmante: En casi la mitad de los casos, los modelos generan código vulnerable.
Según un informe de Veracode, el 45 % del código generado por las tareas contenía vulnerabilidades conocidas. Esto se aplica incluso a los modelos más nuevos y potentes. La situación no ha cambiado mucho en los últimos dos años, a pesar del progreso tecnológico.
Se realizaron pruebas en 80 tareas en cuatro lenguajes de programación: Java, JavaScript, C# y Python. Se analizaron las vulnerabilidades más comunes: inyección SQL, XSS, inyección de registros y el uso de criptografía insegura.
Java tuvo el peor rendimiento: solo el 28,5 % de las soluciones eran seguras. Los mejores resultados fueron Python (61,7 %) y JavaScript (57 %). Los desarrolladores atribuyen este resultado a la calidad de los datos de entrenamiento: Java se utilizaba con frecuencia antes del estudio activo de la inyección SQL, y los modelos eran capaces de «aprender» ejemplos erróneos.
Los LLM son particularmente deficientes en el manejo de XSS e inyección de registros, con una puntuación de aprobado de no más del 13 %. La situación es mejor con la inyección SQL y los errores criptográficos, donde la seguridad del código alcanza el 80-85 %.
El tamaño del modelo prácticamente no afecta al resultado. Incluso los modelos LLM con más de 100 mil millones de parámetros muestran la misma tasa de éxito del 50 % que los modelos más pequeños con menos de 20 mil millones.
Los investigadores señalan que los modelos LLM generalmente no son eficaces para depurar los datos de entrada, especialmente sin contexto. El problema se agrava por el hecho de que la mayoría de los modelos se entrenaron con código disponible públicamente en GitHub y otros sitios, que a menudo contienen ejemplos inseguros, a veces incluso intencionalmente, como en proyectos educativos como WebGoat.
Veracode advierte que las empresas que ya implementan IA en la fase de desarrollo, ya sea a través de plataformas de código abierto, contratistas o low-code, podrían estar aumentando inconscientemente el riesgo de filtraciones y ataques de datos.
El director ejecutivo de Val Town, Steve Kraus, llama a este código «código de vibración» en su blog: es inestable, se rompe constantemente y requiere una depuración exhaustiva. Según él, la «codificación de vibración» genera deuda técnica al mismo ritmo que la inteligencia artificial genera líneas de código. Puede ser útil para prototipos, pero no para proyectos serios.
Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...
Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...
La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...
«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...
El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...
Para más información: [email protected]