Newsletter para devsEntra

Seguridad del código en tiempos de IA

La IA genera código a una velocidad que multiplica la superficie de ataque y comprime el tiempo de reacción ante vulnerabilidades. El desarrollador deja de ser quien escribe cada línea y pasa a ser quien entiende y valida lo que pega: linters, SAST, SCA, DAST y detección de secretos dejan de ser opcionales. A los vectores clásicos se suman nuevos propios del contexto IA: alucinaciones de paquetes inexistentes (slop squatting), scripts post-install maliciosos en la cadena de suministro npm y los servidores MCP como vector emergente. La ficha recoge la postura defensiva: fijar versiones, bloquear scripts, auditar dependencias y no ejecutar MCP sin revisar.

Prompt para tu agente
Haz una pasada de seguridad a <código o dependencias que ha metido la IA>: busca
paquetes inventados (slop squatting), scripts post-install sospechosos, secretos
y MCPs sin revisar. Dame los hallazgos y cómo fijar o bloquear cada uno.

Fuentes en Web Reactiva

Momentos

Ataque a la cadena de suministro: scripts `post-install`/`pre-install`, `ignore-scripts`, cambio a pnpm/bun, whitelist de paquetes

00:16:24Los agentes de IA mienten pero nosotros no leemos el código

Fijar versiones (`package-lock`), caret vs versión pinada, retardo de versión como salvaguarda

00:19:45Los agentes de IA mienten pero nosotros no leemos el código

Revisar lo que programan los agentes: `*.local.md` fuera del repo, gitignore como barrera, no meterlo todo en `docs`

00:32:46La IA miente: cómo revisar y verificar lo que programan los agentes de IA
Daniel Primo

Artículo creado por Daniel Primo con ayuda de la IA en base a lo compartido en el podcast, vídeos y textos de Web Reactiva.

12 recursos para developers cada domingo en tu bandeja de entrada

Además de una skill práctica bien explicada, trucos para mejorar tu futuro profesional y una pizquita de humor útil para el resto de la semana. Gratis.