Un nuevo informe de Veracode alerta de que los grandes modelos de lenguaje (LLM) siguen introduciendo vulnerabilidades graves en casi la mitad del código que generan, pese a sus avances en precisión sintáctica. El 2025 GenAI Code Security Report revela que, de media, solo el 55 % del código producido por estas herramientas es seguro, dejando un 45 % con fallos incluidos en el Top 10 de OWASP.
El estudio evaluó más de 100 modelos de IA en 80 tareas de programación con riesgo de vulnerabilidades como inyección SQL, cross-site scripting (XSS), uso de algoritmos criptográficos inseguros y log injection, en lenguajes como Java, JavaScript, C# y Python. Los resultados muestran que:
- La seguridad apenas ha mejorado en dos años, a pesar de que la capacidad de generar código correcto ha crecido notablemente.
- El tamaño del modelo no marca la diferencia: los modelos grandes no superan a los pequeños en seguridad.
- Java es el talón de Aquiles: presenta un 28,5 % de código seguro frente al 55-61 % de otros lenguajes.
- Por tipo de vulnerabilidad, los LLM evitan mejor la inyección SQL y el uso de cifrado inseguro, pero fallan de forma sistemática en prevenir XSS y log injection.
Más que confiar en que la próxima generación de modelos solucione este problema, Veracode recomienda que las organizaciones asuman que el código generado por IA necesita ser auditado igual que cualquier otro. Incorporar análisis estáticos automatizados, revisiones de seguridad y formación para los desarrolladores en el uso seguro de estas herramientas será clave para aprovechar sus ventajas sin heredar sus puntos débiles.
