Logo de CursoIA
CursoIA Curso de Inteligencia Artificial

Prompt engineering para programación, Unidad 8 — Seguridad y buenas prácticas, 8.1 — Código inseguro generado por IA ·

Dependencias peligrosas

Dependencias peligrosas

Introducción

Cuando se utilizan Inteligencias Artificiales (IA) para la generación de código, es crucial tener en cuenta que el software no vive en un vacío. En muchos casos, el código generado por las LLMs (Modelos de Modelos de Lenguaje Generalizados, o Generative Language Models) se integra con otros sistemas y dependencias externas. Estas dependencias pueden introducir vulnerabilidades y riesgos significativos que deben ser manejados cuidadosamente para proteger la seguridad del software.

Explicación principal

Las dependencias externas pueden ser un punto de entrada para ataques cibernéticos, especialmente si no se manejan adecuadamente. A continuación, exploramos cómo las dependencias peligrosas pueden comprometer el código generado por IA y proporcionamos ejemplos con una breve explicación.

Consideremos un escenario en el que la LLM genera un script de Python para una tarea específica:

import requests

def fetch_data(url):
    response = requests.get(url)
    return response.json()

# Ejemplo de uso
data = fetch_data("https://api.example.com/data")
print(data)

Este ejemplo parece simple y funcional, pero sin el control adecuado, puede estar sujeto a inyecciones de código y manipulación maliciosa.

Errores típicos / trampas

  1. Inyecciones de código: Si la URL https://api.example.com/data es proporcionada por un usuario o ingresada en tiempo de ejecución, una inyección podría ser posible. Por ejemplo:
   url = input("Ingresa el URL: ")
   data = fetch_data(url)
  1. Manejo incorrecto de datos: Las APIs externas pueden devolver datos maliciosos o no validados. Si se usan estos datos sin un proceso de validación adecuado, se puede exponer al código a ataques como el desbordamiento de buffer.
  1. Dependencias peligrosas: Dependencias inseguras en el entorno del proyecto pueden ser utilizadas por el código generado. Por ejemplo, si una dependencia no está actualizada y tiene una vulnerabilidad conocida, este puede ser explotado para comprometer el sistema.

Checklist accionable

Para mitigar estos riesgos y garantizar la seguridad del software generado por IA, es crucial seguir las siguientes prácticas:

  1. Validación de entradas: Asegúrate de validar todos los datos ingresados desde fuentes externas antes de usarlos.
  2. Actualización constante: Mantén actualizadas todas las dependencias del proyecto para evitar vulnerabilidades conocidas.
  3. Auditorías de seguridad: Realiza regularmente auditorías de seguridad en el código generado y en las dependencias utilizadas.
  4. Documentación detallada: Documenta todas las dependencias y sus versiones utilizadas, así como cualquier inseguridad encontrada o corregida.
  5. Revisión por pares: Incluye la revisión del código generado por IA junto con el resto del código fuente para detectar posibles fallos.
  6. Usa herramientas de detección de vulnerabilidades: Utiliza herramientas automatizadas como Snyk, Dependabot o OWASP Dependency-Check para identificar dependencias inseguras.
  7. Ejecuta pruebas unitarias: Asegúrate de que las pruebas unitarias cubran todas las posibles entradas y salidas del código generado.
  8. Manejo seguro de secretos: No almacenes ni utilices secretos (API keys, contraseñas) en el código fuente sin protección adecuada.

Cierre

En resumen, la seguridad es una cuestión vital cuando se integran dependencias externas en el software generado por IA. Es crucial seguir prácticas de seguridad cuidadosas para evitar riesgos y garantizar que el software sea confiable y seguro. Siguiendo las recomendaciones proporcionadas en este artículo, podrás mitigar los riesgos asociados con las dependencias peligrosas y mejorar la calidad general del código generado por IA.

Siguientes pasos

  • Implementa validación de entradas en todos los puntos donde se ingresen datos externos.
  • Actualiza constantemente todas las dependencias y realiza auditorías de seguridad periódicas.
  • Documenta detalladamente todas las dependencias utilizadas, sus versiones y cualquier inseguridad detectada o corregida.
  • Incluye pruebas unitarias que cubran todos los escenarios posibles para garantizar la integridad del código generado.

Contacto

Indica tu objetivo (ChatGPT, RAG, agentes, automatización) y tu stack (web/backend).

Al enviar este formulario aceptas nuestra política de privacidad y el tratamiento de tus datos para responder a tu solicitud.