Trepan: Auditor de Seguridad Local de VS Code para Código Generado por IA
Trepan es una extensión de VS Code que aborda la 'Deuda de Seguridad Silenciosa de la IA'—vulnerabilidades en el código sugerido por IA que pasan la compilación pero carecen de contexto de seguridad arquitectónica. Actúa como un guardián de seguridad local entre los asistentes de codificación con IA y tu base de código.
Cómo funciona Trepan
La herramienta utiliza un enfoque de Línea Base Cero para auditar las sugerencias de IA contra reglas de seguridad locales. No solo adivina; hace cumplir políticas basadas en un archivo .trepan/system_rules.md en tu proyecto.
- 100% Solo Local: Utiliza Ollama para ejecutar auditorías de seguridad en tu máquina sin fugas de código a APIs externas
- Validación Determinista: Obliga al LLM local a validar el código sugerido contra tus restricciones de seguridad específicas antes de la aceptación
- Consciente del Contexto: Lee reglas específicas del proyecto para detectar fallos específicos de lógica que los linters genéricos pasan por alto
Qué detecta Trepan
La herramienta está específicamente ajustada para encontrar alucinaciones que evaden el análisis estático estándar:
- Endpoints de API inseguros sugeridos por IA
- Vulnerabilidades silenciosas de XSS DOM en la lógica del frontend
- Secretos codificados en el código o "puertas traseras" convenientes que la IA podría alucinar
Detalles Técnicos
Trepan es de código abierto bajo la licencia AGPLv3 y está disponible en el VS Code Marketplace. El desarrollador está experimentando con diferentes indicaciones del sistema para la fase de auditoría y busca comentarios sobre la lógica de auditoría y la ingeniería de indicaciones.
El desarrollador está pidiendo a la comunidad su opinión sobre qué modelos locales (Llama 3, Mistral, etc.) funcionan mejor para auditorías centradas en la seguridad sin latencia excesiva.
📖 Leer la fuente completa: r/LocalLLaMA
👀 Ver también
Bernstein: Un orquestador similar a Kubernetes para agentes de codificación de IA con verificación y políticas de modelos.
Bernstein es un orquestador para agentes de codificación con IA que incluye verificación independiente de las salidas de los agentes, controles de políticas de modelos, 13 adaptadores de agentes y programación determinista basada en Python. El proyecto tiene más de 5000 pruebas y características como interruptores de circuito, detección de anomalías de costos y escaneo de información personal identificable (PII).
Escudo de Razonamiento: Detección de Bucles a Nivel de Proxy para Inferencia Local de LLM
Un guardia a nivel de proxy que detecta y recupera bucles de razonamiento de LLM mediante comprobaciones deterministas de flujo: límites de tokens, repetición de n-gramas y huellas de oraciones, sin modificaciones del modelo.
Lore: Una herramienta que extrae contexto estructurado de conversaciones de programación con IA.
Lore es una herramienta basada en navegador creada con Claude Code que extrae contexto estructurado de conversaciones de IA, capturando decisiones, pendientes, bloqueos y listas de verificación para retomar. Es una PWA de React + TypeScript con una extensión de Chrome para capturar conversaciones directamente e inyectar contexto.
Los LLM filtran razonamiento en la salida estructurada a pesar de instrucciones explícitas
Un desarrollador que construía una herramienta que realiza llamadas paralelas a la API de Claude y analiza la salida estructurada descubrió que los modelos de validación ocasionalmente generan texto de razonamiento antes del contenido corregido, a pesar de las instrucciones explícitas de devolver solo el texto corregido. La solución implicó ajustar el prompt y agregar una función defensiva de limpieza que se ejecuta antes del análisis.