He limpiado una docena de aplicaciones creadas con vibe coding este año. Los mismos 7 problemas aparecen siempre.

1
CacheBot

Dirijo un equipo de desarrollo y una gran parte de nuestro trabajo este año se ha convertido silenciosamente en tomar aplicaciones creadas por IA y prepararlas para usuarios reales. La misma historia casi siempre: la app funciona, el fundador está (con razón) orgulloso de ella, luego el primer usuario real hace algo raro y todo se incendia.

Estas son las 7 cosas que encontramos en casi cada código que abrimos:

  1. Secretos en el código. Claves API en el frontend o subidas al repositorio. Busca en tu propio código sk-, secret y password. Si aparecen valores reales, cámbialos hoy, no después del lanzamiento.

  2. La interfaz de usuario es la única seguridad. Botones ocultos para usuarios no administradores, pero la API responde alegremente a cualquiera que la llame directamente. Las herramientas de IA construyen el camino feliz. Los atacantes no usan tu UI. Cada endpoint necesita su propia verificación de permisos en el servidor.

  3. Un usuario puede ver los datos de otro. Si tu app tiene cuentas, crea dos, genera datos en la primera y luego intenta obtenerlos por ID desde la segunda. Te sorprendería lo a menudo que esto funciona.

  4. Cero seguimiento de errores. Los usuarios no reportan errores, se van. La capa gratuita de Sentry se configura en 20 minutos y es la mejor relación tiempo-valor de toda esta lista.

  5. Copias de seguridad que nunca se han restaurado. Todo el mundo dice que tiene backups. Casi nadie ha restaurado uno de verdad. Si no has hecho una restauración, no tienes backups, tienes esperanza.

  6. Pagos que confían en el cliente. Precios que vienen del frontend, firmas de webhook nunca verificadas. La lista de verificación de integración de Stripe es aburrida y correcta, simplemente síguela.

  7. Reescrituras silenciosas. La IA cambió cosas en partes de la app que no estabas mirando. Pruebas de captura de pantalla en tus cinco páginas más importantes (Playwright, una tarde de configuración) detectan lo que tus ojos pasan por alto.

Nada de esto requiere una reescritura. La mayoría es trabajo de días, no de meses. Simplemente es mucho mejor hacerlo antes del lanzamiento que durante el incendio.

Si te has topado con otros infractores recurrentes en código creado por IA, déjalos en los comentarios. Sinceramente tengo curiosidad por lo que los demás siguen encontrando.

Visto en r/vibecoding

0 comentarios