Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

La codificación de Vibe se descontrola. La IA genera código vulnerable, pero a nadie le importa.

Redazione RHC : 2 agosto 2025 10:35

La inteligencia artificial se está convirtiendo cada vez más en un asistente para los programadores, pero un estudio de Veracode ha demostrado que la comodidad conlleva un riesgo de seguridad. Un análisis de 100 de los principales modelos de lenguaje (LLM) reveló un patrón alarmante: En casi la mitad de los casos, los modelos generan código vulnerable.

Según un informe de Veracode, el 45 % del código generado por las tareas contenía vulnerabilidades conocidas. Esto se aplica incluso a los modelos más nuevos y potentes. La situación no ha cambiado mucho en los últimos dos años, a pesar del progreso tecnológico.

Se realizaron pruebas en 80 tareas en cuatro lenguajes de programación: Java, JavaScript, C# y Python. Se analizaron las vulnerabilidades más comunes: inyección SQL, XSS, inyección de registros y el uso de criptografía insegura.

Java tuvo el peor rendimiento: solo el 28,5 % de las soluciones eran seguras. Los mejores resultados fueron Python (61,7 %) y JavaScript (57 %). Los desarrolladores atribuyen este resultado a la calidad de los datos de entrenamiento: Java se utilizaba con frecuencia antes del estudio activo de la inyección SQL, y los modelos eran capaces de «aprender» ejemplos erróneos.

Los LLM son particularmente deficientes en el manejo de XSS e inyección de registros, con una puntuación de aprobado de no más del 13 %. La situación es mejor con la inyección SQL y los errores criptográficos, donde la seguridad del código alcanza el 80-85 %.

El tamaño del modelo prácticamente no afecta al resultado. Incluso los modelos LLM con más de 100 mil millones de parámetros muestran la misma tasa de éxito del 50 % que los modelos más pequeños con menos de 20 mil millones.

Los investigadores señalan que los modelos LLM generalmente no son eficaces para depurar los datos de entrada, especialmente sin contexto. El problema se agrava por el hecho de que la mayoría de los modelos se entrenaron con código disponible públicamente en GitHub y otros sitios, que a menudo contienen ejemplos inseguros, a veces incluso intencionalmente, como en proyectos educativos como WebGoat.

Veracode advierte que las empresas que ya implementan IA en la fase de desarrollo, ya sea a través de plataformas de código abierto, contratistas o low-code, podrían estar aumentando inconscientemente el riesgo de filtraciones y ataques de datos.

El director ejecutivo de Val Town, Steve Kraus, llama a este código «código de vibración» en su blog: es inestable, se rompe constantemente y requiere una depuración exhaustiva. Según él, la «codificación de vibración» genera deuda técnica al mismo ritmo que la inteligencia artificial genera líneas de código. Puede ser útil para prototipos, pero no para proyectos serios.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Exploit RCE de día cero y sin clics a la venta en iOS. Explora el mercado de ciberarmas para espionaje.
Di Redazione RHC - 01/08/2025

Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...

Microsoft enumera 40 empleos que desaparecerán gracias a la IA. Los empleos prácticos se mantienen.
Di Redazione RHC - 01/08/2025

Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.
Di Redazione RHC - 01/08/2025

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...

¡La fiebre de la IA llega a Wyoming! Un centro de datos de 10 gigavatios consumirá más electricidad que 600.000 personas.
Di Redazione RHC - 31/07/2025

El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...