La IA puede escribir su código, pero casi la mitad puede ser inseguro

Si bien GenAI se destaca en la producción de código funcional, introduce vulnerabilidades de seguridad en el 45 por ciento de los casos, según el Informe de seguridad de código GenAI 2025 de Veracode , que analizó el código producido por más de 100 LLM en 80 tareas de codificación del mundo real.

Codificación de vibraciones

“El auge de la codificación de vibraciones, donde los desarrolladores dependen de la IA para generar código, generalmente sin definir explícitamente los requisitos de seguridad, representa un cambio fundamental en la forma de crear software”, afirmó Jens Wessling , director de tecnología de Veracode. “La principal preocupación con esta tendencia es que no necesitan especificar restricciones de seguridad para obtener el código deseado, lo que deja la decisión de codificación segura en manos de los LLM. Nuestra investigación revela que los modelos GenAI toman decisiones erróneas casi la mitad de las veces, y esto no está mejorando”.

La IA permite a los atacantes identificar y explotar vulnerabilidades de seguridad con mayor rapidez. Las herramientas basadas en IA pueden escanear sistemas a gran escala, identificar debilidades e incluso generar código de explotación con mínima intervención humana. Esto reduce la barrera de entrada para atacantes menos cualificados y aumenta la velocidad y la sofisticación de los ataques, lo que supone una amenaza para las defensas de seguridad tradicionales. No solo aumentan las vulnerabilidades, sino que también facilita su explotación.

Los LLM introducen vulnerabilidades de seguridad generalizadas en el código

Para evaluar la seguridad del código generado por IA, Veracode creó 80 tareas de codificación diseñadas para exponer las debilidades comunes del software, según lo define el sistema de Enumeración de Debilidades Comunes (CWE) de MITRE. Cada tarea requirió que más de 100 LLM completaran fragmentos de código, ofreciendo la oportunidad de elegir una implementación segura o insegura.

Los resultados fueron contundentes: en el 45 por ciento de todos los casos de prueba, los LLM produjeron códigos que contenían vulnerabilidades alineadas con el OWASP Top 10 , una lista de los riesgos de seguridad de aplicaciones web más graves.

Algunos lenguajes resultaron especialmente problemáticos. Java registró la tasa de fallos más alta, y el código generado por LLM introdujo fallos de seguridad en más del 70 % de los casos. Python, C# y JavaScript no se quedaron atrás, con tasas de fallos de entre el 38 % y el 45 %.

Los LLM también se enfrentaron a tipos específicos de vulnerabilidades. El 86 % de las muestras de código no lograron defenderse contra ataques de secuencias de comandos entre sitios (CWE-80) y el 88 % fueron vulnerables a ataques de inyección de registros (CWE-117).

Nuestra investigación muestra que los modelos están mejorando la precisión de codificación, pero no la seguridad. También descubrimos que los modelos más grandes no funcionan significativamente mejor que los más pequeños, lo que sugiere que se trata de un problema sistémico más que de un problema de escalado de LLM, afirmó Wessling.

Asegurar el flujo de trabajo del software impulsado por IA

Si bien las prácticas de desarrollo de GenAI, como la codificación vibrante, aceleran la productividad, también aumentan los riesgos. Los investigadores enfatizan que las organizaciones necesitan un programa de gestión de riesgos que prevenga las vulnerabilidades antes de que lleguen a producción, integrando controles de calidad del código y correcciones automatizadas directamente en el flujo de trabajo de desarrollo.

A medida que las organizaciones aprovechan cada vez más el desarrollo impulsado por IA , Veracode recomienda tomar las siguientes medidas proactivas para garantizar la seguridad:

Integre herramientas impulsadas por IA en los flujos de trabajo de los desarrolladores para remediar los riesgos de seguridad en tiempo real.
Aproveche el análisis estático para detectar fallas de manera temprana y automática, evitando que el código vulnerable avance a través de los canales de desarrollo.
Integre seguridad en los flujos de trabajo de los agentes para automatizar el cumplimiento de políticas y garantizar que los agentes de IA apliquen estándares de codificación seguros.
Utilice el análisis de composición de software (SCA) para garantizar que el código generado por IA no introduzca vulnerabilidades provenientes de dependencias de terceros y componentes de código abierto.
Adopte una guía de remediación impulsada por IA para capacitar a los desarrolladores con instrucciones de reparación y capacitarlos para utilizar las recomendaciones.
Implemente un firewall para detectar y bloquear automáticamente paquetes maliciosos, vulnerabilidades y violaciones de políticas.

Fuente y redacción: helpnetsecurity.com

Codificación de vibraciones

Los LLM introducen vulnerabilidades de seguridad generalizadas en el código

Asegurar el flujo de trabajo del software impulsado por IA

La IA obliga a los líderes de seguridad a repensar las estrategias de nube híbrida

Más de 57 actores de amenazas utilizan IA para operaciones cibernéticas

Outsourcing de IA: guía estratégica para gestionar riesgos de terceros