¿Cómo corregir los riesgos de seguridad del vibe coding?
Las aplicaciones de la inteligencia artificial (IA) son variadas. Un uso que se está extendiendo de esta tecnología es el de la codificación asistida. Esto es, lo que se conoce como vibe coding.
Según datos de Palo Alto Networks, un 99 % de las organizaciones está utilizando agentes de IA en procesos de desarrollo.
El problema es que esto puede derivar en problemas de seguridad. Un informe de Unit 42, la unidad de inteligencia de amenazas de esta compañía, profundiza en cómo esta nueva forma de programar sin necesidad de tener grandes conocimientos técnicos genera riesgos que hay que subsanar.
Las organizaciones se olvidan de principios como la concesión del mínimo privilegio en favor de la rapidez y la automatización, lo que deriva en problemas como “vulnerabilidades ocultas, malas prácticas de seguridad o dependencias inseguras” que pasan de largo en las pruebas iniciales.
Desde la firma apuntan a fallos como eliminaciones indebidas de base de datos o una lógica insegura de la plataforma que permite eludir la autenticación o que lleva a la ejecución de código.
Al final, con el vibe coding se genera una falsa sensación de fiabilidad, porque el código generado funciona. Pero, más allá de eso, no cumple con ciertos estándares de prevención.
Por otro lado, los ciberdelincuentes tienen a las herramientas de IA entre sus objetivos y buscarán manipular su comportamiento.
Claves para mantenerse a salvo
Los expertos recuerdan que la protección es un principio que debe integrarse desde la propia fase de diseño.
Unit 42 introduce el marco SHIELD para orientar el diseño seguro sin renunciar a la codificación asistida por IA. Su idea es equilibrar la productividad asociada al vibe coding con una necesaria gestión del riesgo. Los pasos son los siguientes:
S de “Separation of Duties”. Dado que las herramientas de vibe coding pueden terminar otorgando demasiados privilegios, la recomendación es evitar funciones no compatibles y limitar el uso de la IA agéntica a los entornos de desarrollo y prueba.
H de “Human in the Loop”. El factor humano no debería desaparecer. Lo mejor es incluir de manera obligatoria la revisión por parte de una persona, así como la aprobación de PR en los casos de código crítico.
I de “Input/Output Validation”. Otro consejo consiste en separar las instrucciones confiables y los datos no confiables y, antes de fusionar el código, aplicar validaciones de seguridad.
E de “Enforce Security-Focused Helper Models”. Unit 42 cree que lo mejor es recurrir a agentes especializados para cuestiones como validar la seguridad, escanear secretos y verificar los controles antes de que se produzca el despliegue.
L de “Least Agency”. Los expertos insisten en la importancia de aferrarse al principio de mínimo privilegio, lo que implica restringir el acceso y los comandos destructivos.
D de “Defensive Technical Controls”. Por último, instan a implementar SCA y desactivar la autoejecución con la misión de fortalecer la supervisión y la seguridad en el momento del despliegue.
(silicon.es)
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
