El 'vibe coding' no es programación y puede hacer que tu app sea vulnerable
Varios estudios han advertido sobre el peligro que conlleva dejar todo en manos de la inteligencia artificial, un paradigma que decanta la balanza hacia los programadores humanos.
"Estoy creando un proyecto o aplicación web, aunque en realidad no estoy programando; simplemente veo cosas, las ejecuto, copio y pego y, en general, funciona", así bautizaba el vibe coding el creador de este término, Andrej Karpathy, el anterior director de IA en Tesla.
Hace apenas un año, en una publicación de X, quien fuera uno de los miembros del equipo fundador de OpenAI, se aventuró a usar este concepto para referirse a una nueva forma de programación en la que la IA se convertía en el centro, mientras que el humano podía simplemente observar.
Es cierto que la inteligencia artificial y el entrenamiento de los grandes modelos de lenguaje natural (LLM) han permitido llegar hasta este punto, aunque el vibe coding puede ser un arma de doble filo, sobre todo para el futuro del código.
A pesar de que este concepto es muy reciente, ya hay varios informes que han investigado el código creado con esta técnica, y en todos ellos se avisa de los grandes riesgos que conlleva dejarse llevar por las "vibras" al programar sin revisar una sola línea de código.
Por ejemplo, un estudio de GitClear analizó hasta 211 millones de líneas de código para observar qué ocurre desde que se usa la IA para programar, con una conclusión devastadora: el porcentaje de código refactorizado –el que ha sido limpiado y optimizado– ha descendido drásticamente.
A largo plazo, esto puede suponer una mayor cantidad de código que habrá que revisar, algo que parece que solo los programadores humanos pueden hacer correctamente a día de hoy.
El vibe coding está plagado de errores
Este mismo año, la firma de seguridad Tenzai publicó una investigación referente a los fallos críticos de seguridad en las aplicaciones creadas mediante vibe coding, y descubrió hasta 69 vulnerabilidades críticas.
Aun con sus diferencias, todas las herramientas analizadas –Codex de OpenAI, Cursor, Claude Code, Replit y Devin– suspendieron este examen, lo que indica que estos agentes de IA aún no deberían actuar totalmente por su cuenta.
Uno de los problemas más recurrentes de la IA fue la autenticación, que presentaba cada vez más errores en cuanto el código se hacía más complejo, impidiendo la autorización correcta al acceder a las API.
Incluso en Claude Code, uno de los agentes más populares, se llegó a conceder el acceso no autenticado a una API de eliminación de pedido, ya que el prompt inicial hacía referencia a la creación de una app para comercio online.
Afortunadamente, hay vulnerabilidades en las que no cae ninguno de estos modelos, como los ataques de inyección SQL o XSS, un límite al menos bastante claro para la seguridad de cualquier proyecto.
Sea como sea, la revisión humana es obligatoria si se quiere construir un proyecto fiable, eficiente y seguro, aspectos que una IA puede obviar por alucinaciones, verificaciones vagas o un prompt que no contenga cuestiones básicas.
Los programadores humanos son más importantes que nunca
En la misma línea de los estudios ya mencionados, otro de CodeRabbit llegó a la conclusión de que el código creado con IA presentaba hasta 2,74 veces más vulnerabilidades en seguridad que el creado por humanos.
Una batalla que, aunque resulte contradictorio, parece decantar la balanza hacia los seres de carne y no hueso; tal y como apuntan los expertos de la industria, esto se debe a una "gran acumulación de deuda técnica" provocada por la IA.
O lo que es lo mismo, la IA funciona de forma rápida y eficiente, pero no comprende exactamente la lógica del cerebro humano, por lo que se crea una brecha entre el código creado mediante vibe coding y la limpieza del mismo.
A pesar de que pueda resultar negativo, todo apunta a que esto llevará a la creación de puestos de trabajo para programadores, en todo lo que tiene que ver con refactorizadores, arquitectos o auditores de código.
Con lo cual en el futuro la IA podría ser básicamente la que comience a crear el código, pero siempre con un equipo humano detrás implicado en que el resultado final sea correcto, precisamente lo que hace ya Nvidia con CodeRabbit.