He limpiado una docena de aplicaciones generadas con IA este año. Los mismos 7 problemas aparecen siempre
Dirijo un equipo de desarrollo y gran parte de nuestro trabajo este año se ha convertido silenciosamente en recibir aplicaciones creadas con IA y prepararlas para usuarios reales. La misma historia casi siempre: la app funciona, el fundador está (con razón) orgulloso de ella, luego el primer usuario real hace algo raro y todo se incendia.
Estas son las 7 cosas que encontramos en casi cada código que abrimos:
- Secretos en el código. Claves de API en el frontend o subidas al repositorio. Busca en tu propio código sk-, secret y password. Si aparecen valores reales, cámbialos hoy, no después del lanzamiento.
- La UI es la única seguridad. Botones ocultos para usuarios no administradores, pero la API responde felizmente a cualquiera que la llame directamente. Las herramientas de IA construyen el camino feliz. Los atacantes no usan tu interfaz. Cada endpoint necesita su propia verificación de permisos en el servidor.
- Un usuario puede ver los datos de otro. Si tu app tiene cuentas, crea dos, crea datos en la primera, luego intenta obtenerlos por ID desde la segunda. Te sorprendería con qué frecuencia esto funciona sin más.
- Cero seguimiento de errores. Los usuarios no reportan errores, se van. El plan gratuito de Sentry se configura en 20 minutos y es el mejor retorno de tiempo invertido de toda esta lista, o puedes usar cualquier herramienta de código abierto para el registro.
- Copias de seguridad que nunca se han restaurado. Todo el mundo dice que tiene copias de seguridad. Casi nadie ha restaurado una realmente. Si no has hecho una restauración, no tienes copias de seguridad, tienes esperanza.
- Pagos que confían en el cliente. Precios que vienen del frontend, firmas de webhook nunca verificadas. La lista de verificación de integración de Stripe es aburrida y correcta, síguela.
- Reescrituras silenciosas. La IA cambió cosas en partes de la app que no estabas mirando. Las pruebas de captura de pantalla en tus cinco páginas más importantes (Playwright, una tarde de configuración) detectan lo que tus ojos pasan por alto.
Nada de esto requiere una reescritura. La mayoría es trabajo de días, no de meses. Simplemente es mucho más agradable hacerlo antes del lanzamiento que durante el incendio.
Si te has topado con otros infractores habituales en código generado por IA, compártelos abajo. Tengo verdadera curiosidad por lo que los demás siguen encontrando.
Visto en r/AskVibecoders