Un estudio advierte que miles de fragmentos de código escritos por inteligencia artificial incluyen dependencias falsas, abriendo la puerta a ciberataques masivos.
La inteligencia artificial podría estar creando sin querer una nueva amenaza para las cadenas de suministro globales. Un estudio reciente reveló que gran parte del código generado por modelos de lenguaje contiene referencias a bibliotecas de software que no existen.
Estas “bibliotecas fantasma” no solo son errores inofensivos: pueden ser explotadas por atacantes para infiltrar código malicioso. El truco es sencillo pero eficaz. Un ciberdelincuente publica una biblioteca con el mismo nombre inventado por la IA, y los sistemas, creyendo que es legítima, la instalan. Así nace un vector de ataque conocido como “confusión de dependencias”.
¿Qué tan grave es el problema?
El equipo de investigadores analizó el rendimiento de 16 modelos de IA y generó más de medio millón de fragmentos de código. El hallazgo fue alarmante: casi 440 mil dependencias apuntaban a bibliotecas inexistentes.
Los modelos de código abierto fueron los más propensos al error, con un 21 % de referencias falsas. En contraste, los modelos comerciales mostraron un 5 % de fallos. Entre los lenguajes de programación, Python resultó ser el “menos malo” con un 16 % de errores, mientras que JavaScript alcanzó un preocupante 21 %.
Riesgo repetitivo
Lo más inquietante es que no se trata de errores aislados. El 43 % de esas bibliotecas falsas se repitieron al menos 10 veces, lo que sugiere patrones predecibles que los atacantes podrían explotar con facilidad. Además, más de la mitad (58 %) aparecieron varias veces en solo 10 intentos.
Joseph Spracklen, autor del estudio, advirtió: “Solo hace falta que un atacante use ese nombre inventado por la IA para colocar su código malicioso. El usuario lo instala y el daño está hecho”.
¿Por qué ocurre?
Este fenómeno se debe a un problema conocido como “alucinación” de los modelos de lenguaje. Es decir, la IA inventa respuestas plausibles, pero incorrectas. En el contexto del desarrollo de software, estas invenciones pueden resultar letales.
¿Y el futuro?
Según proyecciones, en cinco años el 95 % del código será generado por inteligencia artificial. El estudio deja una advertencia clara: los desarrolladores no deben confiar ciegamente en lo que sugiere la máquina. Supervisar y verificar sigue siendo clave para evitar catástrofes silenciosas en las cadenas de suministro.
