Aikido lanza Code Audit: IA que halla fallos lógicos entre SAST y pentest

Publicado por Andrés Morales en

⏱️ Lectura: 12 min

La firma de seguridad Aikido presentó Code Audit, una herramienta que usa modelos de IA para razonar sobre el código fuente y descubrir vulnerabilidades lógicas complejas que las herramientas tradicionales pasan por alto. El anuncio, publicado el 16 de junio de 2026, llega en un momento delicado para toda la industria de la seguridad.

📑 En este artículo
  1. TL;DR
  2. Qué pasó: Code Audit entra en escena
  3. Contexto e historia: la brecha entre SAST y pentest
  4. Cómo razona Code Audit sobre tu código
  5. Datos y cifras del primer benchmark
  6. Más allá de la web: móvil, smart contracts y legacy
  7. Impacto y análisis para equipos en LATAM
  8. Cómo empezar
  9. Qué sigue
  10. Preguntas frecuentes
    1. ¿Code Audit reemplaza a mi escáner SAST?
    2. ¿Necesito un entorno de staging o credenciales para usarlo?
    3. ¿Qué tan confiables son las cifras del 70-80% y los 25 hallazgos?
    4. ¿Sirve para apps móviles y smart contracts?
    5. ¿Qué tiene que ver Claude Fable 5 con todo esto?
  11. Referencias

Apenas días antes, Anthropic había retirado su modelo Claude Fable 5 después de que una o más organizaciones lograran sortear sus salvaguardas y usarlo para encadenar exploits zero-day. El mensaje de fondo es claro: si los atacantes ya cuentan con agentes capaces de hallar y encadenar fallos, los defensores necesitan las mismas armas.

TL;DR

  • Aikido presentó Code Audit el 16 de junio de 2026: IA que razona sobre el código estático para hallar fallos lógicos multi-paso.
  • Se ubica entre el SAST (reglas) y el pentest (pruebas en vivo), sin necesitar entorno de staging ni credenciales.
  • En pruebas internas cubre 70-80% de lo que halla un pentest completo, a ~10x menor costo.
  • Los primeros usuarios encontraron una mediana de ~25 problemas por base de código; ninguna auditoría salió limpia.
  • Detecta cadenas IDOR entre varios archivos, patrones ReDoS y rutas admin que un escáner por patrones nunca conecta.
  • Funciona también en apps móviles, smart contracts y código legacy con poca cobertura de SAST.
  • El contexto: Anthropic retiró Claude Fable 5 tras jailbreaks que encadenaban zero-days, presionada por el gobierno de EE. UU.

Qué pasó: Code Audit entra en escena

Code Audit es un producto que se conecta a tu repositorio y analiza el código sin ejecutarlo. A diferencia de un escáner SAST, que compara cada línea contra una base de reglas conocidas, Code Audit razona sobre el flujo del programa: sigue referencias entre archivos y módulos, reconstruye la lógica de autorización y detecta los puntos donde la falla no vive en una sola línea, sino en la combinación de varias. Cada hallazgo regresa con la causa raíz, evidencia basada en el código y un AutoFix que genera un pull request para resolver el problema.

Aikido posiciona la herramienta como un punto intermedio. No reemplaza al SAST, que sigue siendo útil para detectar vulnerabilidades por reglas mientras programas. Tampoco reemplaza al pentest manual. Code Audit ocupa la brecha entre ambos, trabajando sobre tu código estático pero con un razonamiento de calidad cercana a un pentest. La recomendación de uso es ejecutarla antes de un lanzamiento importante o después de que aterriza una funcionalidad grande, cuando el desarrollador que escribió el código todavía tiene todo el contexto fresco.

Code Audit conectado a un repositorio para analizar el código fuente
Code Audit se conecta al repositorio y audita el código sin ejecutarlo.

Contexto e historia: la brecha entre SAST y pentest

Para entender por qué una herramienta así tiene sentido, conviene mirar las dos grandes familias del análisis de seguridad. El SAST (Static Application Security Testing) revisa el código fuente buscando patrones peligrosos: una consulta SQL construida con concatenación de cadenas, una función conocida por ser insegura, un secreto incrustado. Es rápido, se integra al pipeline de CI/CD y es excelente para fallos predecibles. Pero tiene un límite estructural: solo encuentra lo que sus reglas saben buscar.

El pentest, en cambio, prueba la aplicación en vivo. Un experto intenta romperla desde afuera, encadenando fallos hasta lograr un impacto real. Es profundo, pero caro, lento y requiere un entorno desplegado con credenciales válidas. Entre estos dos extremos queda una zona gris enorme: los fallos lógicos. Una cadena de IDOR repartida en tres archivos, una expresión regular vulnerable a ReDoS, una ruta de administración que nadie probó porque nadie tenía las credenciales. Estos fallos no siguen patrones predecibles, así que el SAST no tiene contra qué compararlos.

graph LR
 A[SAST por reglas] --> B[Brecha de fallos logicos]
 C[Pentest en vivo] --> B
 B --> D[Code Audit razona el codigo]

El detonante editorial del anuncio es la retirada de Claude Fable 5. Según Aikido, ese modelo —una versión pública de la familia Mythos— era capaz de descubrir y encadenar exploits zero-day. Venía con barreras que bloqueaban las consultas de ciberseguridad y caían a un modelo más limitado, de modo que la versión pública no ejecutaba esos ataques. Esa era la idea. Pero, al parecer, una o más organizaciones lograron jailbreakearlo, lo que llevó a Anthropic a retirar el modelo bajo presión del gobierno estadounidense. El problema, como advierte la propia Aikido, es que el genio ya salió de la botella: ya sea por jailbreaks o por modelos open source, los atacantes tendrán acceso a modelos cada vez más capaces. La habilidad y el tiempo que costaba encontrar y encadenar fallos en una aplicación se está colapsando en algo que un agente hace sin horas ni días de esfuerzo humano.

Cómo razona Code Audit sobre tu código

El ejemplo canónico es una cadena de IDOR (Insecure Direct Object Reference) que cruza varios archivos. Ningún renglón por separado es la vulnerabilidad: el problema nace de una referencia que se sigue en un módulo y un control de autorización que falta en otro. Un escáner por patrones jamás conectaría esos puntos. Pensá en una API con una ruta así:

// invoiceController.js
app.get('/api/invoices/:id', authRequired, async (req, res) => {
  const invoice = await db.invoices.findById(req.params.id);
  // Falta verificar que la factura pertenece al usuario autenticado
  return res.json(invoice);
});

El middleware authRequired confirma que hay una sesión válida, así que un escáner ve una ruta protegida y sigue de largo. Pero no hay ninguna comprobación de que invoice.ownerId === req.user.id. Cualquier usuario autenticado puede leer la factura de cualquier otro cambiando el id en la URL. Si además la verificación de pertenencia vive en un servicio aparte que esta ruta nunca llama, el problema se reparte entre archivos. Code Audit sigue la referencia, rastrea el control de autorización ausente en su contexto y reconstruye la ruta de explotación completa, con la evidencia que lo demuestra.

💭 Clave: el valor no está solo en encontrar el fallo, sino en el momento. Hallarlo antes del lanzamiento cuesta un cambio de código mientras el desarrollador todavía tiene contexto. Hallarlo en producción cuesta un ciclo de remediación y sacar a alguien de otro proyecto.

El mismo principio aplica a otros fallos basados en lógica: un patrón ReDoS identificado desde el código sin necesidad de explotarlo en vivo, o una ruta de administración que ningún pentest ejercitó porque nadie tenía credenciales válidas. Como Code Audit trabaja sobre el código fuente, no necesitás un entorno de staging activo ni crear credenciales de prueba. Si el código existe en el repositorio, está dentro del alcance: múltiples repos, rutas detrás de feature flags, cambios sin desplegar y rutas admin que las pruebas en vivo no pueden tocar con seguridad.

Datos y cifras del primer benchmark

Aikido publicó cifras de sus pruebas internas y de usuarios tempranos. Según la empresa, Code Audit cubre aproximadamente el 70-80% de lo que revela un pentest completo, a un costo cercano a 10 veces menor. Los primeros usuarios encontraron una mediana de ~25 problemas de seguridad por base de código, y un dato llamativo: ninguna auditoría regresó limpia. Cero. Toda base de código analizada tenía al menos un hallazgo.

Conviene leer estos números con criterio: son métricas autorreportadas por el proveedor, no de un tercero independiente, y el 70-80% es un promedio que dependerá mucho del tipo de aplicación. Aun así, el dato de las cero auditorías limpias es coherente con lo que cualquiera que haya hecho revisión de código sabe: casi siempre hay algo.

Panel con métricas de hallazgos de seguridad por base de código
Mediana de ~25 hallazgos por repositorio; ninguna auditoría salió limpia.

Más allá de la web: móvil, smart contracts y legacy

Como Code Audit razona sobre el código fuente estático en lugar de sondear un entorno en vivo, no está limitado por la cobertura de reglas del SAST ni por la plataforma donde corre tu código. Eso abre tres frentes que normalmente quedan huérfanos de pruebas automatizadas:

  • Apps móviles — donde no hay una URL a la que acceder ni una forma fácil de ejercitar las rutas de código contra un build en vivo.
  • Smart contracts — donde justamente no querés lanzar intentos de explotación contra un contrato desplegado con valor real bloqueado dentro.
  • Código legacy en lenguajes con cobertura de SAST muy delgada, esos sistemas viejos que nadie quiere tocar pero que siguen en producción.
⚠️ Ojo: que una herramienta encuentre el 70-80% de lo que halla un pentest no significa que reemplace al pentest. El 20-30% restante suele ser justo donde viven los fallos que requieren creatividad humana y contexto de negocio.

Impacto y análisis para equipos en LATAM

Para los equipos de desarrollo en América Latina, la variable más interesante es el costo. Un pentest profesional completo está fuera del presupuesto de muchas startups y pymes tech de la región, que terminan lanzando a producción con poca o ninguna revisión de seguridad seria. Una herramienta que promete cubrir la mayoría de los hallazgos a una décima parte del costo cambia esa ecuación, sobre todo para equipos pequeños que no tienen un especialista de seguridad de planta.

El otro punto es de flujo de trabajo. Mover el descubrimiento de vulnerabilidades al momento previo al lanzamiento —cuando quien escribió el código todavía recuerda por qué tomó cada decisión— reduce el costo de arreglar cada fallo. No es lo mismo corregir un IDOR el día que lo introdujiste que descubrirlo seis meses después en un reporte de incidente. Para una cultura de ingeniería que recién está madurando sus prácticas de seguridad, ese cambio de timing puede valer más que el porcentaje de cobertura.

Dicho esto, conviene mantener el escepticismo sano. Estas herramientas razonan, y razonar implica equivocarse: pueden alucinar rutas de explotación que no existen o pasar por alto fallos evidentes. El AutoFix que genera un pull request es cómodo, pero un PR de seguridad generado por IA necesita revisión humana antes de mergearse. La promesa no es reemplazar el criterio, sino ampliar el alcance de los equipos que ya tienen poco.

Cómo empezar

El flujo descrito por Aikido es simple y no requiere instalar nada en tu máquina: todo ocurre desde la cuenta web. Desde el menú seleccionás Code Audit y hacés clic en Create Audit. Elegís uno o más repositorios, la plataforma estima el costo en créditos, agregás créditos a tu cuenta e inicias la auditoría. La configuración toma unos minutos y las auditorías pueden tardar tan poco como 5 minutos, según el tamaño y la complejidad de tu base de código.

Qué sigue

El lanzamiento de Code Audit es una señal de hacia dónde va la seguridad ofensiva y defensiva. La asimetría histórica —los atacantes tienen tiempo, los defensores tienen prisa— se está reconfigurando porque ambos lados ahora pueden delegar el trabajo pesado a agentes. La retirada de Fable 5 muestra que ni siquiera el control sobre un modelo garantiza que su capacidad no termine en manos hostiles. La respuesta de la industria parece clara: si no podés evitar que los atacantes usen IA para encontrar fallos, usá la misma IA para encontrarlos primero.

Esperá ver más productos en esta franja entre SAST y pentest durante 2026, más benchmarks de terceros que validen (o desinflen) las cifras autorreportadas, y un debate creciente sobre la responsabilidad cuando un AutoFix generado por IA introduce un bug nuevo. La carrera apenas empieza.

📖 Resumen en Telegram: Ver resumen

Preguntas frecuentes

¿Code Audit reemplaza a mi escáner SAST?

No. El SAST sigue siendo útil durante el desarrollo para detectar fallos por reglas en tiempo real. Code Audit se usa en momentos puntuales —antes de un lanzamiento o tras una funcionalidad grande— para hallar fallos lógicos que el SAST no cubre.

¿Necesito un entorno de staging o credenciales para usarlo?

No. Code Audit trabaja sobre el código fuente estático, así que no requiere un entorno desplegado ni credenciales de prueba. Eso le permite analizar código sin desplegar, rutas detrás de feature flags y rutas de administración.

¿Qué tan confiables son las cifras del 70-80% y los 25 hallazgos?

Son métricas autorreportadas por Aikido a partir de pruebas internas y usuarios tempranos, no de una evaluación independiente. Sirven como referencia, pero conviene tratarlas como afirmaciones del proveedor hasta que existan benchmarks de terceros.

¿Sirve para apps móviles y smart contracts?

Sí. Como razona sobre el código y no sondea un entorno en vivo, puede analizar apps móviles, smart contracts (sin atacar un contrato desplegado con valor real) y bases de código legacy con poca cobertura de SAST.

¿Qué tiene que ver Claude Fable 5 con todo esto?

Fue el detonante narrativo del anuncio. Anthropic retiró ese modelo tras jailbreaks que lo usaban para encadenar zero-days. El argumento de Aikido es que, dado que los atacantes tendrán acceso a modelos cada vez más capaces, los defensores deben usar la misma tecnología para adelantarse.

Referencias

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.

Categorías: Noticias Tech

Andrés Morales

Desarrollador e investigador en inteligencia artificial. Escribe sobre modelos de lenguaje, frameworks, herramientas para devs y lanzamientos open source. Cubre papers de ML, ecosistema de startups tech y tendencias de programación.

0 Comentarios

Deja un comentario

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Entradas relacionadas

Favicon de 9×9 píxeles que almacena un sitio web en un favicon dentro de sus canales RGB
Noticias Tech

Guardó un sitio web completo en un favicon de 9×9 píxeles

Un desarrollador alemán codificó una página HTML completa dentro de un favicon de 9×9 píxeles que pesa 212 bytes. El truco no es útil, pero revela algo profundo sobre cómo funcionan los datos en la web.

Desarrollador que decide dejar una huella con un comentario en un foro técnico
Noticias Tech

Dejar una huella: comentar y dar feedback en internet

El ensayo "Leave a Trace" del developer Jake Worth propone una idea simple: cada vez que algo te ayude en internet, deja una señal de que estuviste ahí. Adaptamos la práctica para developers de LATAM, con ejemplos de feedback, reportes de bug y comandos reales.

Diagrama de Datasette Apps ejecutando HTML en un iframe sandbox sobre SQLite
Noticias Tech

Datasette Apps: apps HTML en iframe sandbox sobre SQLite

Simon Willison lanzó Datasette Apps, un plugin que ejecuta aplicaciones HTML+JavaScript no confiables dentro de un iframe con sandbox y una cabecera CSP inmutable. Las apps consultan SQLite de solo lectura sin poder robar datos sensibles, una idea que recuerda a los Artifacts de Claude pero con una base de datos relacional detrás.