Revisa código generado por IA por modos de fallo de seguridad que asistentes de IA comúnmente pasan por alto: riesgos de prompt injection, exposición de credenciales, vulnerabilidades de dependencias, deserialización insegura y gaps de control de acceso. Esta habilidad detecta lo que los agentes pierden cuando optimizan por funcionalidad sobre seguridad, especialmente en código que maneja input de usuario, autenticación o datos externos.
Casos de uso
- Revisando código de terceros generado por IA antes de integrarlo en un codebase sensible a seguridad
- Auditando output de asistente de IA que maneja autenticación de usuario, procesamiento de pagos o datos personales
- Pre-deploy security check para una funcionalidad de IA donde el output del modelo se convierte en parte de un command o query de sistema
- Revisando código que usa tool-calling o capacidades de plugin donde inputs maliciousos podrían ser inyectados a través del modelo
- Evaluando código generado por IA para cumplimiento con un framework de seguridad específico (OWASP Top 10, controles SOC 2)
Funciones principales
- Check para vectores de inyección: cualquier lugar donde output de modelo, input de usuario o datos externos son ejecutados, evaluados o usados en un command de sistema sin validación
- Audita manejo de credenciales y secrets: verifica que API keys, tokens y passwords nunca son loggeados, expuestos en mensajes de error o almacenados en código
- Revisa declaraciones de dependencias por vulnerabilidades conocidas usando una base de datos de CVE, prestando especial atención a nuevas dependencias añadidas por la IA
- Verifica boundaries de control de acceso: confirma que el código enforcea autenticación y autorización en las capas apropiadas, no solo en la UI
- Check para deserialización insegura, SQL injection, XXE y otras vulnerabilidades web clásicas que asistentes de IA frecuentemente introducen cuando generan boilerplate
Relacionados
Relacionados
3 Entradas indexadas
Safe dependency upgrades
Una checklist estructurada para actualizar dependencies de npm, pip, Cargo o similares sin romper producción. Esto cubre análisis de changelog, evaluación de riesgo semver, manejo de lockfile y smoke testing para que updates rutinarios de dependencias no se conviertan en fuentes de incidentes de producción.
Receiving code review
Estructura cómo respondes al feedback de revisión de código para que el proceso de revisión se mantenga enfocado, respetuoso y productivo. Esta habilidad separa feedback sustantivo de-nitpicks, rastrea seguimientos sin perderlos y produce un registro que hace los merges más rápidos y los post-mortems más claros.
Requesting code review
Enmarca un pull request para que los revisores entiendan el perfil de riesgo, qué ha sido probado y dónde enfocar su atención limitada. Esto produce revisiones más rápidas y útiles porque los revisores pasan menos tiempo reconstruyendo contexto y más tiempo evaluando los cambios reales.