Experimento de Auditoría de Seguridad Muestra que el Rendimiento del Agente de IA Depende del Acceso al Conocimiento

Un usuario de Reddit realizó un experimento comparando enfoques de auditoría de seguridad con IA en la misma base de código para probar cómo el acceso al conocimiento afecta los resultados. El experimento utilizó el kit de inicio SaaS de código abierto Next.js de BoxyHQ como sujeto de prueba.
Tres métodos de auditoría comparados
El desarrollador ejecutó tres auditorías de seguridad independientes:
- Revisión de seguridad incorporada de Claude Code: Encontró 1 crítica, 6 altas y 13 medias de severidad
- Agente de IA sin contexto adicional: Encontró 1 crítica, 5 altas y 14 medias de severidad
- Agente de IA con 10 libros profesionales de seguridad: Encontró 8 críticas, 9 altas y 10 medias de severidad
Hallazgos clave
El agente equipado con libros identificó vulnerabilidades que los otros métodos pasaron por completo, incluyendo:
- Tokens de restablecimiento de contraseña almacenados en texto plano
- Una condición de carrera TOCTOU (Time-of-Check to Time-of-Use) en la validación de tokens
- Una bandera de característica que llama a
res.status(404)pero no retorna, permitiendo que la ejecución continúe
El desarrollador señaló que estos no son casos límite oscuros sino el tipo de problemas que aparecen en violaciones de seguridad reales. El experimento utilizó la misma base de código y el mismo modelo de IA en las tres pruebas, siendo la única variable el conocimiento al que el agente tenía acceso.
Implicaciones para el desarrollo asistido por IA
El experimento sugiere que los agentes de IA no están limitados por la inteligencia sino por qué conocimiento pueden acceder cuando es necesario. El desarrollador concluyó que el conocimiento de seguridad "vive por encima del código" en lugar de dentro de él, destacando la importancia de proporcionar referencias específicas del dominio a las herramientas de IA en lugar de confiar únicamente en su entrenamiento base.
Este enfoque de aumentar los agentes de IA con fuentes de conocimiento especializadas podría ser particularmente relevante para desarrolladores que utilizan asistentes de codificación con IA para revisiones de seguridad, donde el acceso a referencias de seguridad actuales y mejores prácticas impacta significativamente la calidad de los hallazgos.
📖 Read the full source: r/ClaudeAI
👀 Ver también

Anuncio malicioso de Google apunta a la instalación de código de Claude
Un anuncio malicioso de Google aparece como el primer resultado en las búsquedas de 'install claude code', intentando engañar a los usuarios para que ejecuten comandos sospechosos en la terminal. El anuncio seguía activo hasta el 15 de marzo de 2026, y el autor evitó por poco ejecutar el código.

Google dice que hackers criminales usaron IA para encontrar vulnerabilidad de día cero
Google reveló que atacantes utilizaron un agente de IA para descubrir y explotar una vulnerabilidad de software previamente desconocida, marcando el primer caso confirmado de descubrimiento de día cero impulsado por IA en el entorno real.

Google TIG reporta el primer exploit de día cero generado por IA en la naturaleza
El Grupo de Inteligencia de Amenazas de Google ha identificado un actor de amenazas que utiliza un exploit de día cero que se cree desarrollado con IA, marcando el primer uso ofensivo observado de la IA para la explotación de vulnerabilidades de día cero.

Anthropic informa sobre ataques de destilación a escala industrial por parte de laboratorios chinos de IA contra Claude.
Anthropic detectó que tres empresas chinas de IA—DeepSeek, Moonshot y MiniMax—crearon más de 24,000 cuentas fraudulentas para generar más de 16 millones de intercambios con Claude, extrayendo sus capacidades de razonamiento mediante ataques de destilación sistemáticos.