STAT_01
del código generado por IA contiene al menos un fallo de seguridad.
Veracode, análisis de más de 4 millones de escaneos en más de 100 LLMs (2025).
Seguridad para el código que tu IA escribió.
Cursor, Claude Code, Copilot y agentes autónomos están escribiendo el 46% del código nuevo. Y el 45% de ese código se envía con vulnerabilidades. Plexicus AI Code Security las detecta en el IDE, antes de que se conviertan en CVEs.
Gratis para desarrolladores ilimitados. Sin tarjeta de crédito. Funciona en Cursor, Claude Code, VS Code, Windsurf.
Equipos pioneros ya están dentro
Threat Radar · Live
Por qué ahora La amenaza para la que aún no tienes una herramienta.
Cada número en esta página está citado. Estamos en una nueva categoría, así que los números importan.
STAT_02 · ~20%
imports.py
import lodash
import requests
import react-router-dom
import lodash-utlis
NOT FOUND
de las importaciones sugeridas por IA hacen referencia a paquetes que no existen. Los atacantes ya los están registrando.
Investigación Slopsquatting, 2025–2026.
STAT_03
0 %
0255075100
del código nuevo enviado en repositorios habilitados con Copilot es creado por IA.
Telemetría de uso de GitHub Copilot, 2025.
STAT_04
0
+29
JANFEBMAR
CVEs atribuibles a IA divulgados en un solo mes, frente a 6 dos meses antes.
Georgia Tech Vibe Security Radar, marzo de 2026.
signal: clean 4 metrics · all sources cited
Capacidades
Cinco capacidades. Una instalación.
Capturas de pantalla reales, etiquetas de estado reales. Ninguna capacidad afirma más de lo que entrega hoy.
Detén las vulnerabilidades en el momento de la generación.
Tu SAST se ejecuta al confirmar. Tu SCA se ejecuta en la solicitud de extracción. Para entonces, el código inseguro ya está escrito, revisado por un humano cansado y fusionado. El agentic coding se mueve más rápido que ambos.
-
Se instala como extensión en Cursor, Claude Code, VS Code, Windsurf y Zed. -
Intercepta sugerencias en tiempo real: bloquea secretos codificados, patrones RLS-off, comodines CORS, las 15 principales CWEs. -
Reescribe la sugerencia o la indicación. Se ejecuta en el dispositivo, por lo que tu código nunca sale del portátil.
Una confirmación que habría enviado una clave de Stripe ahora envía una referencia al administrador de secretos, sin necesidad de acción del desarrollador.
La única capa que trata los servidores MCP como cadena de suministro.
Cada IDE que usas ahora se conecta a servidores MCP con acceso casi root a tus repos, tickets y chat. Los mercados de MCP ya han sido envenenados. La mayoría de los equipos no pueden listar los MCP que sus desarrolladores han instalado.
-
Inventario continuo de cada servidor MCP por desarrollador, por repo, por organización. -
Escanea descripciones de herramientas en busca de inyección y patrones de 'tirón de alfombra'. Señala MCP que cambian su comportamiento después de la aprobación. -
Aísla la ejecución de MCP, limita la tasa de llamadas y parchea automáticamente cuando llegan CVEs como 2026-30615.
En una auditoría de una semana, los equipos suelen descubrir de 3 a 5 veces más MCP instalados de los que su organización de seguridad sabía que existían.
Atrapa paquetes que no existen — antes de que los atacantes los registren.
Los modelos importan con confianza paquetes que nunca han sido publicados. Los atacantes monitorean la tendencia y registran esos nombres en cuestión de horas. La próxima vez que tu asistente sugiera uno, será malicioso.
-
Valida cada importación de npm, PyPI, Cargo y Go contra el registro real en tiempo real. -
Señala paquetes publicados en los últimos 30 días cuyos nombres se asemejan a bibliotecas populares (typosquatting + slopsquatting). -
Detecta cuando una función importada no coincide con la API real de la biblioteca — una señal de código alucinado.
Plexicus mantiene una base de datos propietaria de los nombres de paquetes que los modelos alucinan con más frecuencia. Se vuelve más inteligente cada semana.
Las fallas que SAST no puede ver — las que realmente filtran datos.
Los mayores incidentes de agentic coding de los últimos 12 meses no fueron inyección SQL. Fueron autorización: Seguridad a nivel de fila deshabilitada, BOLA (Broken Object Level Authorization), endpoints que olvidan verificar al usuario actual. SAST no detecta nada de esto.
-
Análisis de alcanzabilidad contra reglas de Supabase, Postgres RLS y Firebase — mapea qué políticas se aplican realmente. -
Fuzzing dirigido para BOLA / IDOR mediante el agente de pentest Plexicus. -
Simulación de flujo: ¿puede el usuario A acceder a los datos del usuario B? Si es así, obtienes un PoC, no solo una alerta.
En una aplicación típica generada por IA con respaldo de Supabase, Plexicus descubre fallos de autorización desde el primer día que las herramientas SAST nunca señalan.
Firma cada línea de código con su origen.
La Ley de IA de la UE, la Ley de Ciberresiliencia, DORA, NIS2 — todas convergen en la misma pregunta: ¿qué línea de tu código enviado fue escrita por qué modelo, con qué prompt, en qué fecha? Nadie puede responder esto hoy.
-
Cada bloque de código se etiqueta en el momento de generación: humano vs IA, nombre del modelo, hash del prompt, marca de tiempo. -
Exporta un AIBOM en formato extendido SPDX / CycloneDX — listo para auditoría. -
Panel de CISO: ¿qué % del código de producción es generado por IA, por qué modelos, con qué perfil de riesgo por modelo?
Exporta un solo PDF para tu próxima auditoría DORA, NIS2 o Ley de IA. El auditor deja de hacer preguntas.
Plataforma
No es solo un plugin de Cursor. Es una plataforma de AppSec.
AI Code Security se ejecuta sobre la plataforma completa de ASPM de Plexicus. Un solo contrato cubre código, dependencias, secretos, infraestructura, APIs y pentest impulsado por agentes — todo unificado por nuestro agente de remediación Codex Remedium que abre el PR por ti.
SAST SCA Secretos IaC DAST Agente de pentest
ASPM
Gestión de la Postura de Seguridad de Aplicaciones en todo tu código.
Learn moreCSPM
Gestión de la Postura de Seguridad en la Nube para cada entorno de ejecución.
Learn moreSeguridad de Contenedores
Seguridad de imágenes, registros y tiempo de ejecución para el stack de contenedores.
Learn more¿Ya eres cliente de Plexicus? AI Code Security está disponible como módulo — sin necesidad de volver a incorporarte ni de un segundo panel.
Integraciones
Funciona donde tus desarrolladores ya trabajan.
Una sola instalación, cada IDE y repositorio que tu equipo ya usa. Sin necesidad de migración.
IDEs y Asistentes de Codificación
Cursor 
Claude Code 
Copilot 
Devin 
Windsurf 
Replit 
Codex 
Kiro 
Lovable 
v0 
Antigravity Repos y CI
Prueba
La investigación, el rastreador, el equipo.
Informe de investigación
Estado de la Seguridad en Ingeniería de IA — 2026
Analizamos miles de commits generados por IA en proyectos de código abierto. El 45% se envía con al menos un fallo. Aquí está el desglose completo — por modelo, por lenguaje, por CWE.
Descargar el informeRastreador en vivo
Amenazas MCP detectadas este mes
Contador en vivo, actualizado semanalmente: nuevos CVEs de MCP divulgados, mercados donde detectamos envenenamiento, incidentes de estafa de salida que los clientes de Plexicus evitaron.
Ver el rastreadorCita de cliente
La capacidad del agente de IA para generar automáticamente correcciones de vulnerabilidades ha transformado nuestro flujo de trabajo.
David Wilson
Jefe de Seguridad, HuMaIND
FAQ
Preguntas Frecuentes
¿Qué es AI Code Security?
AI Code Security es una categoría de AppSec diseñada para código generado por herramientas de codificación de IA como Cursor, Claude Code, Copilot y agentes autónomos. Combina guardarraíles de IDE, escaneo de seguridad MCP, detección de paquetes alucinados, análisis de autorización y procedencia del código de IA (AIBOM).
¿En qué se diferencia del SAST tradicional?
El SAST tradicional se ejecuta en el commit o PR, después de que el código inseguro ya ha sido escrito y revisado. Plexicus intercepta en el IDE, en el bucle de sugerencias, para que los patrones malos nunca lleguen al repositorio.
¿Qué IDEs y asistentes de codificación están soportados?
Cursor, Claude Code, VS Code, Windsurf y Zed están soportados hoy. JetBrains está por llegar. Todos se ejecutan con la extensión de Plexicus y funcionan sin conexión: su código nunca sale del portátil.
¿Qué es un AIBOM?
Una Factura de Materiales de IA: un manifiesto firmado de qué líneas de código fueron escritas por qué modelo, con qué indicación y en qué momento. Responde a la pregunta de cumplimiento que DORA, NIS2 y la Ley de IA de la UE siguen haciendo.
¿Tengo que reemplazar mis herramientas AppSec existentes?
No. AI Code Security es un módulo sobre la plataforma completa de Plexicus ASPM. Úsalo junto con tu SAST/SCA existente, o reemplázalos con los motores de Plexicus, tú decides.
¿Es gratis empezar?
Sí. Gratis para desarrolladores y repositorios ilimitados, sin necesidad de tarjeta de crédito.
¿Cómo funciona la detección de slopsquatting?
Cada importación que sugiere tu asistente de IA se verifica contra el registro de paquetes real en tiempo real. Si el paquete no existe, se publicó en los últimos 30 días con un nombre sospechoso, o su API no coincide con la función importada, Plexicus lo bloquea y ofrece una solución.
VIBE CODING SECURITY
No envíes las vulnerabilidades que tu IA escribió.
Plexicus las detecta en el IDE, en el PR y en producción. Tus desarrolladores no se ralentizarán. Tu CISO volverá a dormir.
Gratis para desarrolladores ilimitados. SOC 2 Tipo II. Respaldado por Google for Startups.