Casi la mitad del código generado por inteligencia artificial presenta fallos de seguridad.
La inteligencia artificial no es muy efectiva en la creación de código seguro.
Investigaciones recientes han revelado que un preocupante 45% del código generado por inteligencia artificial presenta fallas de seguridad, a pesar de que parece estar listo para producción. Este estudio abarcó más de 100 modelos de lenguaje en 80 diferentes tareas de programación, evidenciando que no ha habido mejoras en la seguridad entre modelos más nuevos o más extensos, lo que representa una grave preocupación para las empresas que dependen de herramientas de IA para respaldar o incluso sustituir la productividad humana.
Java fue identificado como el lenguaje más problemático, con una tasa de fallos superior al 70%, mientras que Python, C# y JavaScript también mostraron tasas de fallos que varían entre el 38% y el 45%. A medida que un número creciente de desarrolladores empieza a confiar en la inteligencia artificial generativa para escribir código, se estima que hasta un tercio del nuevo código en plataformas como Google y Microsoft podría ser generado por estas herramientas.
Jens Wessling, CTO de Veracode, indicó que el surgimiento de la "programación de vibra", donde los desarrolladores se apoyan en la IA para crear código sin definir de manera explícita los requisitos de seguridad, marca un cambio fundamental en la construcción de software. El estudio encontró que los modelos de lenguaje a menudo seleccionan métodos de programación inseguros el 45% del tiempo, sin defenderse adecuadamente contra vulnerabilidades comunes como scripting entre sitios (86%) y la inyección de logs (88%).
Wessling añadió que, aunque los modelos están mejorando en precisión de codificación, no están progresando en lo que se refiere a seguridad. Las vulnerabilidades se ven amplificadas en la era actual, ya que la inteligencia artificial permite a los atacantes explotarlas de manera más rápida y a gran escala. Ante esta situación, Veracode recomienda a los desarrolladores habilitar controles de seguridad en los flujos de trabajo impulsados por IA para asegurar el cumplimiento y la seguridad, además de adoptar guías de remediación en inteligencia artificial para capacitar a los desarrolladores y utilizar herramientas que faciliten la detección temprana de fallos.
Wessling concluyó que los asistentes de codificación basados en IA y los flujos de trabajo agenticos representan el futuro del desarrollo de software, enfatizando que la seguridad no debe considerarse un aspecto secundario si se desea evitar la acumulación de una gran "deuda de seguridad".
