¿Dall-E para codificadores? Esa es la promesa detrás de la codificación de vibra, un término describiendo el uso del verbo natural para crear software. Si adecuadamente esto introduce en una nueva era de código generado por IA, introduce vulnerabilidades de “enemigo silencioso”: defectos explotables que evaden las herramientas de seguridad tradicionales a pesar del rendimiento de las pruebas perfectas.
Un prospección detallado de las prácticas de codificación de VIBE seguras está habitable aquí.
Tl; dr: codificación de vibra segura
La codificación de vibos, que usa el verbo natural para difundir software con IA, está revolucionando el incremento en 2025. Pero aunque acelera la creación de prototipos y democratiza la codificación, incluso introduce vulnerabilidades “silenciosas”: fallas explotables que pasan pruebas pero evaden herramientas de seguridad tradicionales.
Este artículo explora:
- Ejemplos del mundo positivo de código generado por IA en la producción
- Estadísticas impactantes: 40% de exposición secreta 40% en repos asistidos por AI-AI
- ¿Por qué LLMS omiten la seguridad a menos que se solicite explícitamente?
- Técnicas seguras de solicitación y comparaciones de herramientas (GPT-4, Claude, cursor, etc.)
- Presión regulatoria de la Ley de AI de la UE
- Un flujo de trabajo práctico para el incremento seguro de AI-AI.
En pocas palabras: AI puede escribir código, pero no lo asegurará a menos que lo solicite, e incluso entonces, aún debe efectuar. La velocidad sin seguridad es solo una falta rápida.
Preámbulo
La codificación de vibos ha explotado en 2025. Acuñado por Andrej Karpathy, es la idea de que cualquiera puede describir lo que quiere y recuperar el código cómodo de los modelos de idiomas grandes. En palabras de Karpathy, la codificación de vibos se comercio de “ceder en presencia de las vibraciones, abrazar los exponenciales y olvidar que el código incluso existe”.
De inmediato a prototipo: un nuevo maniquí de incremento
Este maniquí ya no es teórico. Los niveles de Pieter (@Levelsio) lanzaron un simulador de revoloteo multijugador, fly.pieter.com, utilizando herramientas de IA como Cursor, Claude y Grok 3. Creó el primer prototipo en menos de 3 horas usando un solo mensaje:
“Haga un esparcimiento de revoloteo en 3D en el navegador”.
A posteriori de 10 días, había ganadería $ 38,000 desde el esparcimiento y ganaba rodeando de $ 5,000 mensuales de los anuncios, ya que el tesina amplió a 89,000 jugadores en marzo de 2025.
Pero no son solo juegos. La codificación de ambas se está utilizando para construir MVP, herramientas internas, chatbots e incluso versiones tempranas de aplicaciones de pila completa. Según el prospección nuevo, casi 25% de las startups de Y Combinator ahora están utilizando AI para crear bases de código central.
Antiguamente de descartar esto como coba de chatgpt, considere la escalera: no estamos hablando de proyectos de juguetes o prototipos de fin de semana. Estas son startups financiadas que construyen sistemas de producción que manejan datos reales del adjudicatario, pagos de procesos e se integran con una infraestructura crítica.
La promesa? Iteración más rápida. Más experimentación. Menos guardado.
Pero hay un costo oculto para esta velocidad. El código generado por IA crea lo que los investigadores de seguridad llaman vulnerabilidades “silenciosas”, código que funciona perfectamente en las pruebas pero contiene defectos explotables que evitan las herramientas de seguridad tradicionales y sobreviven a las tuberías de CI/CD para alcanzar la producción.
El problema: la seguridad no genera automáticamente
La captura es simple: AI genera lo que pides, no lo que olvidas pedir. En muchos casos, eso significa que las características de seguridad críticas se dejan fuera.
El problema no es solo una indicación ingenua, es sistémico:
- Los LLM están entrenados para completono proteger. A menos que la seguridad esté explícitamente en el aviso, generalmente se ignora.
- Herramientas como GPT-4 pueden sugerir bibliotecas desactivadas o patrones detallados que enmascaran vulnerabilidades sutiles.
- Los datos confidenciales a menudo están codificados porque el maniquí “lo vio así” en los ejemplos de entrenamiento.
- Las indicaciones como “construir un formulario de inicio de sesión” a menudo producen patrones inseguros: almacenamiento de contraseña de texto sin formato, sin MFA y flujos de autores rotos.
De acuerdo con esta nueva conductor de codificación de temblor segura, esto lleva a lo que llaman “Seguridad por omisión”software que funciona en silencio con defectos explotables. En un caso citado, un desarrollador usó AI para obtener precios de acciones de una API y cometió accidentalmente su secreto codificada para GitHub. Un solo mensaje dio como resultado una vulnerabilidad del mundo positivo.
Aquí hay otro ejemplo positivo: Un desarrollador solicitó a AI que “cree una función de restablecimiento de contraseña que envía un enlace de reinicio”. La IA generó código de trabajo que envió correos electrónicos y tokens validados con éxito. Pero utilizó una comparación de cadenas de tiempo no confidencial para la subsistencia de tokens, creando un ataque de canal colateral basado en el tiempo donde los atacantes podrían restablecer los tokens de reinicio de fuerza bruta midiendo los tiempos de respuesta. La función pasó todas las pruebas funcionales, funcionó perfectamente para usuarios legítimos y hubiera sido ficticio de detectar sin pruebas de seguridad específicas.
Efectividad técnica: la IA necesita barandas
La conductor presenta una inmersión profunda en cómo las diferentes herramientas manejan el código seguro y cómo solicitarlas correctamente. Por ejemplo:
- Tirar tiende a ser más conservador, a menudo marcando un código de aventura con comentarios.
- Cursor que tienes Excelente en las pelusas en tiempo positivo y puede resaltar vulnerabilidades durante los refactores.
- GPT-4 Necesita restricciones específicas, como:
- “Genere (característica) con las 10 mejores protecciones de OWASP. Incluya la tapia de la velocidad, la protección CSRF y la subsistencia de entrada”.
Incluso incluye plantillas de inmediato seguras, como:
# Insecure
"Build a file upload server"
# Secure
"Build a file upload server that only accepts JPEG/PNG, limits files to 5MB, sanitizes filenames, and stores them outside the web root."
La asignatura: si no lo dices, el maniquí no lo hará. E incluso si lo dice, aún necesita efectuar.
La presión regulatoria está montando. La Ley de AI de la UE ahora clasifica algunas implementaciones de codificación de VIBE como “sistemas de IA de detención aventura” que requieren evaluaciones de conformidad, particularmente en infraestructura crítica, atención médica y servicios financieros. Las organizaciones deben documentar la billete de la IA en la coexistentes de códigos y permanecer los senderos de auditoría.
Codificación de vibra segura en la destreza
Para aquellos que implementan la codificación de VIBE en la producción, la conductor sugiere un flujo de trabajo claro:
- Indicador con contexto de seguridad – Escribir indicaciones como su modelado de amenazas.
- Indicación de múltiples pasos – Primero genere, luego solicite al maniquí que revise su propio código.
- Prueba automatizada – Integre herramientas como Snyk, Sonarqube o Gitguardian.
- Revisión humana -Suponga que cada salida generada por IA es insegura de forma predeterminada.
# Insecure AI output:
if token == expected_token:
# Secure version:
if hmac.compare_digest(token, expected_token):
La paradoja de seguridad de accesibilidad
La codificación de VIBE democratiza el incremento de software, pero la democratización sin barandillas crea un aventura sistémico. La misma interfaz de verbo natural que permite a los usuarios no técnicos crea aplicaciones incluso los elimina de comprender las implicaciones de seguridad de sus solicitudes.
Las organizaciones abordan esto a través de modelos de comunicación escalonados: entornos supervisados para expertos en dominios, incremento guiado para desarrolladores ciudadanos y comunicación completo solo para ingenieros entrenados en seguridad.
Vibra codificación ≠ reemplazo de código
Las organizaciones más inteligentes tratan la IA como una capa de aumento, no como sustituto. Usan la codificación de vibra para:
- Acelerar tareas aburridas y calderas
- Aprenda nuevos marcos con andamios guiados
- Prototipo de características experimentales para pruebas tempranas
Pero aún confían en ingenieros experimentados para la casa, la integración y el polaco final.
Esta es la nueva verdad del incremento de software: el inglés se está convirtiendo en un verbo de programación, pero solo si aún comprende los sistemas subyacentes. Las organizaciones que tienen éxito con la codificación de ambientes no son reemplazando el incremento tradicional, lo están aumentando con prácticas de seguridad primero, supervisión adecuada y gratitud de que la velocidad sin seguridad es solo una falta rápida. La comicios no es si adoptar el incremento asistido por AI-AI, es si hacerlo de forma segura.
Para aquellos que buscan profundizar en las prácticas seguras de codificación de ambientes, la conductor completa proporciona pautas extensas.
Disección centrado en la seguridad de los principales sistemas de codificación de IA
| Sistema de inteligencia industrial | Fortalezas secreto | Características de seguridad | Limitaciones | Casos de uso óptimos | Consideraciones de seguridad |
| OPERAI CODEX / GPT-4 | Versátil, válido comprensión | Detección de vulnerabilidad del código (copiloto) | Puede sugerir bibliotecas desactivadas | Mejora web de pila completa, algoritmos complejos | El código detallado puede oscurecer los problemas de seguridad; Seguridad a nivel de sistema más débil |
| Tirar | Explicaciones fuertes, verbo natural | Solicitante de los riesgos | Menos especializado para codificar | Aplicaciones de Doc-Heavy, de seguridad crítica | Excelente para explicar las implicaciones de seguridad |
| Coder de profundidad | Especializado para la codificación, el conocimiento de repositorio | Linting de repositorio consciente de repositorio | Conocimiento militar menguado | Programación de nivel crítico, a nivel de sistema | Disección suspenso válido; Detección de defectos de seguridad método más débil |
| Copiloto de Github | Integración IDE, contexto de repositorio | Escaneo de seguridad en tiempo positivo, detección de OWASP | Excesiva dependencia en el contexto | Prototipos rápidos, flujo de trabajo del desarrollador | Mejor detectar patrones inseguros conocidos |
| Amazon Codewhisperer | Integración de AWS, compatible con políticas | Escaneo de seguridad, detección de cumplimiento | AWS centrado | Infraestructura en la cúmulo, enviduentes compatibles | Cachas en la coexistentes de código conforme |
| Cursor que tienes | Estampación del verbo natural, refactorización | Pelusas de seguridad integradas | Menos adecuado para bases de código nuevas y nuevas | Refinamiento iterativo, auditoría de seguridad | Identifica vulnerabilidades en el código existente |
| Base44 | Builder sin código, IA conversacional | Auth incorporado, infraestructura segura | No hay comunicación de código directo, menguado por la plataforma | MVP rápido, usuarios no técnicos, automatización de negocios | La seguridad administrada por la plataforma crea dependencia del proveedor |
La conductor completa incluye plantillas de solicitud seguras para 15 patrones de aplicación, configuraciones de seguridad específicas de la aparejo y marcos de implementación empresarial, repaso esencial para cualquier equipo que implementa el incremento asistido por AI-AI.
