Redazione RHC : 2 agosto 2025 10:35
La inteligencia artificial se está convirtiendo cada vez más en un asistente para los programadores, pero un estudio de Veracode ha demostrado que la comodidad conlleva un riesgo de seguridad. Un análisis de 100 de los principales modelos de lenguaje (LLM) reveló un patrón alarmante: En casi la mitad de los casos, los modelos generan código vulnerable.
Según un informe de Veracode, el 45 % del código generado por las tareas contenía vulnerabilidades conocidas. Esto se aplica incluso a los modelos más nuevos y potentes. La situación no ha cambiado mucho en los últimos dos años, a pesar del progreso tecnológico.
Se realizaron pruebas en 80 tareas en cuatro lenguajes de programación: Java, JavaScript, C# y Python. Se analizaron las vulnerabilidades más comunes: inyección SQL, XSS, inyección de registros y el uso de criptografía insegura.
Java tuvo el peor rendimiento: solo el 28,5 % de las soluciones eran seguras. Los mejores resultados fueron Python (61,7 %) y JavaScript (57 %). Los desarrolladores atribuyen este resultado a la calidad de los datos de entrenamiento: Java se utilizaba con frecuencia antes del estudio activo de la inyección SQL, y los modelos eran capaces de «aprender» ejemplos erróneos.
Los LLM son particularmente deficientes en el manejo de XSS e inyección de registros, con una puntuación de aprobado de no más del 13 %. La situación es mejor con la inyección SQL y los errores criptográficos, donde la seguridad del código alcanza el 80-85 %.
El tamaño del modelo prácticamente no afecta al resultado. Incluso los modelos LLM con más de 100 mil millones de parámetros muestran la misma tasa de éxito del 50 % que los modelos más pequeños con menos de 20 mil millones.
Los investigadores señalan que los modelos LLM generalmente no son eficaces para depurar los datos de entrada, especialmente sin contexto. El problema se agrava por el hecho de que la mayoría de los modelos se entrenaron con código disponible públicamente en GitHub y otros sitios, que a menudo contienen ejemplos inseguros, a veces incluso intencionalmente, como en proyectos educativos como WebGoat.
Veracode advierte que las empresas que ya implementan IA en la fase de desarrollo, ya sea a través de plataformas de código abierto, contratistas o low-code, podrían estar aumentando inconscientemente el riesgo de filtraciones y ataques de datos.
El director ejecutivo de Val Town, Steve Kraus, llama a este código «código de vibración» en su blog: es inestable, se rompe constantemente y requiere una depuración exhaustiva. Según él, la «codificación de vibración» genera deuda técnica al mismo ritmo que la inteligencia artificial genera líneas de código. Puede ser útil para prototipos, pero no para proyectos serios.
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vulnerab...