La IA genera código a una velocidad que multiplica la superficie de ataque y comprime el tiempo de reacción ante vulnerabilidades. El desarrollador deja de ser quien escribe cada línea y pasa a ser quien entiende y valida lo que pega: linters, SAST, SCA, DAST y detección de secretos dejan de ser opcionales. A los vectores clásicos se suman nuevos propios del contexto IA: alucinaciones de paquetes inexistentes (slop squatting), scripts post-install maliciosos en la cadena de suministro npm y los servidores MCP como vector emergente. La ficha recoge la postura defensiva: fijar versiones, bloquear scripts, auditar dependencias y no ejecutar MCP sin revisar.
Haz una pasada de seguridad a <código o dependencias que ha metido la IA>: busca paquetes inventados (slop squatting), scripts post-install sospechosos, secretos y MCPs sin revisar. Dame los hallazgos y cómo fijar o bloquear cada uno.
Fuentes en Web Reactiva
- La seguridad de tu código en tiempos de IApost2026-02-28
- Los agentes de IA mienten pero nosotros no leemos el códigowr2026-04-12
Momentos
Ataque a la cadena de suministro: scripts `post-install`/`pre-install`, `ignore-scripts`, cambio a pnpm/bun, whitelist de paquetes
Fijar versiones (`package-lock`), caret vs versión pinada, retardo de versión como salvaguarda
Revisar lo que programan los agentes: `*.local.md` fuera del repo, gitignore como barrera, no meterlo todo en `docs`
Artículo creado por Daniel Primo con ayuda de la IA en base a lo compartido en el podcast, vídeos y textos de Web Reactiva.