promptgarten 🌱
🌍 FR
Guía●●●5 min · +50 XP

Auditorías de seguridad con IA: revisar el código en busca de fallos

Los agentes de IA encuentran muchas vulnerabilidades de seguridad de forma automática, pero los hallazgos críticos siempre necesitan que una persona los confirme.

Qué hace una auditoría de seguridad con IA

Un agente de IA lee tu código o un diff y busca patrones conocidos de vulnerabilidades de seguridad: inyección SQL, deserialización insegura, contraseñas escritas directamente en el código, comprobaciones de permisos ausentes. Eso es mucho más rápido que leer cada línea a mano.

Hallazgos típicos

Se encuentran con frecuencia: vulnerabilidades de inyección (SQL, de comandos, XSS), comprobaciones de autorización ausentes, secretos expuestos como API keys, cifrado débil y llamadas a funciones inseguras como eval(). Estos patrones aparecen una y otra vez en código real, a menudo por falta de tiempo o desconocimiento.

Dónde están los límites

Un agente puede reconocer patrones, pero no entiende automáticamente tu modelo de amenazas: quién es el atacante, cuál es el objetivo más valioso, qué compromisos son aceptables. Un hallazgo puede ser inofensivo en un contexto y crítico en otro, y eso solo lo sabe quien conoce el sistema.

Una persona revisa lo crítico

Las revisiones automáticas son un primer paso, no un sustituto de la revisión humana. Sobre todo en hallazgos relacionados con autenticación, datos de pago o permisos de acceso: haz que una persona lo confirme antes de marcar el hallazgo como resuelto o de ignorarlo. Y además: una herramienta de seguridad que a su vez usa una IA puede ser engañada mediante texto malicioso incrustado en el código; revisar código desconocido y no confiable requiere precaución adicional.

EJEMPLO

Prompt de ejemplo: 'Usa un subagente y revisa el diff de la ruta de login en busca de vulnerabilidades de seguridad: inyección, autorización ausente, secrets expuestos. Clasifica cada hallazgo por categoría OWASP y marca lo que una persona debe confirmar antes del merge.'

🛠️ EJERCICIO — PRUÉBALO TÚ

Haz que un agente revise un fragmento de código pequeño y deliberadamente inseguro (por ejemplo, una función de login con una query SQL construida por concatenación de strings) en busca de vulnerabilidades de seguridad.

  1. Escribe o toma una función con una vulnerabilidad conocida, por ejemplo `query = "SELECT * FROM users WHERE name='" + input + "'"`.
  2. Haz que el agente revise la función y clasifique los hallazgos por categoría OWASP (inyección, autenticación, etc.).
  3. Pregunta específicamente: '¿Cuáles de estos hallazgos tendría que hacer confirmar a una persona antes de un merge real, y por qué?'

AUTOEVALUACIÓN

  • ¿El agente identificó y nombró correctamente la inyección SQL?
  • ¿Evaluó la gravedad o criticidad de forma realista, o solo dijo 'peligroso' de forma genérica?
  • ¿Pudiste explicar por qué un hallazgo como este necesita confirmación humana antes de marcarlo como resuelto?

QUIZ RÁPIDO

¿Por qué una revisión de seguridad con IA no sustituye la revisión humana en hallazgos críticos?

FUENTES

TEMAS RELACIONADOS

Cómo asegurar agentes en la práctica ●●○Seguridad en vibe coding ●●○Prompt injection (inyección de prompts) ●●●Code review con IA: mirada fresca en vez de autoevaluación ●●○