El 22 de juny de 2026, el National Cyber Security Centre (NCSC) del Regne Unit va publicar una advertencia formal sobre els riscos de seguretat del vibe coding: la practica de delegar l'escriptura de codi a models d'intel·ligencia artificial generativa amb minima supervisio humana. L'organisme, part del GCHQ britanic i equivalent al CCN-CERT espanyol, adverteix que el codi generat amb IA pot introduir vulnerabilitats de seguretat que els desenvolupadors no comprenen ni detecten. La frase que resumeix la posicio de l'organisme: no hi som encara. Calibra el teu enfocament segons la realitat d'avui, no el potencial de dema.

Que se sap de l'advertencia del NCSC sobre el codi generat amb IA?

  • El NCSC identifica el vibe coding com un risc emergent de primer nivell. La practica de generar codi amb eines d'IA generativa i desplegar-lo amb revisio minima o nul·la esta introduint vulnerabilitats en sistemes reals.
  • El ritme de defectes per linia de codi es mante estatic, pero el volum creix exponencialment. El vibe coding augmenta radicalment el volum total de codi que arriba a produccio, de manera que el nombre absolut de vulnerabilitats creix.
  • El codi generat per IA es dificil d'auditar i mantenir. Els models generen codi que funciona pero que pot tenir implicacions de seguretat que el desenvolupador no comprend ni podria explicar en una auditoria.
  • Distincio per nivell de risc del sistema. El NCSC distingeix entre casos d'us de baix risc, on el vibe coding es acceptable amb precaucions, i sistemes critics, on requereix revisio tecnica exhaustiva.
  • Crida als proveïdors de models d'IA perque dissenyin i entrinin els seus models per no introduir ni propagar vulnerabilitats no intencionades.
  • L'acceleracio de la IA en el descobriment de vulnerabilitats complica el panorama. El NCSC CTO Ollie Whitehouse va descriure una onada de pedacos que s'acosta: els models d'IA frontier estan descobrint vulnerabilitats a una velocitat sense precedents.

Per que el vibe coding sense supervisio es un risc de primer ordre per a les empreses espanyoles

  1. La pressio per velocitat de lliurament supera la maduresa dels processos de revisio. En absencia de processos definits de revisio de seguretat per a codi generat per IA, el resultat es codi funcional amb deute de seguretat invisible.
  2. El desenvolupador no enten el codi que genera la IA. Un desenvolupador pot acceptar un fragment generat per IA perque resol el problema immediat, sense comprendre les implicacions de seguretat de com ho resol.
  3. Els agents d'IA en pipelines de CI/CD amplien el risc. Connecta directament amb la vulnerabilitat de la GitHub Action de Claude Code que vam analitzar el 8 de juny: un agent d'IA en un pipeline CI/CD sense supervisio adequada ja va demostrar ser un vector real de compromís.

Com es produeixen vulnerabilitats en el codi generat amb IA

  1. El model optimitza perque el codi funcioni, no perque sigui segur. Si el prompt no especifica requisits de seguretat, el model generara codi funcionalment correcte pero potencialment insegur.
  2. Els models repliquen patrons insegurs del codi d'entrenament. Els models poden reproduir vulnerabilitats conegudes o practiques de seguretat obsoletes del codi d'entrenament.
  3. El codi generat enfosqueix la superficie d'atac. Un auditor de seguretat no pot revisar codi que l'equip propietari no pot explicar.

Lliçons clau per a equips de desenvolupament i responsables de seguretat

  • Calibrar el nivell de supervisio segons el risc del sistema. Major criticitat exigeix major supervisio humana obligatoria abans del desplegament.
  • El desenvolupador ha d'entendre el codi abans d'acceptar-lo. Si no pot explicar com funciona un fragment generat per IA i per que es segur, no s'hauria de desplegar.
  • Incorporar revisio de seguretat especifica per a codi generat per IA. Els SAST i les revisions de codi existents no estan calibrats per detectar els patrons especifics del codi generat per IA.
  • Usar controls deterministics, no confiar que la IA es limiti a si mateixa. La resposta no es esperar que un segon model d'IA avalui el primer.
  • Per a agents d'IA en CI/CD: aplicar la Agents Rule of Two de Microsoft. Cap workflow d'IA hauria de tenir simultaneament input no confiable, secrets sensibles i capacitat d'actuar externament.

La ciberseguretat com a prioritat estrategica

L'advertencia del NCSC sobre el vibe coding no es una critica a l'us de la IA en el desenvolupament de programari: es una crida a la maduresa en l'adopcio. Per a les empreses espanyoles que incorporen IA generativa als seus equips de desenvolupament, la pregunta d'avui es directa: tenen processos de revisio de seguretat especificament dissenyats per a codi generat per IA abans que arribi a produccio?

Apolo Cybersecurity: revisio de seguretat de codi generat per IA i avaluacio de pipelines de desenvolupament

A Apolo Cybersecurity ajudem organitzacions a avaluar i reforcar la seguretat dels seus processos de desenvolupament amb IA generativa: revisio dels controls de supervisio existents sobre codi generat per IA en pipelines CI/CD, avaluacio de la superficie d'atac introduida per agents d'IA amb acces a secrets i sistemes critics, i disseny de processos de revisio de seguretat especifics per a codi generat per models de llenguatge.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity