El Ecosistema Startup > Blog > Actualidad Startup > Anthropic y OpenAI exponen el punto ciego del SAST
Visual editorial de IA aplicada a seguridad revelando vulnerabilidades ocultas en análisis estático de código SAST, destacando herramientas de Anthropic y OpenAI.

Anthropic y OpenAI exponen el punto ciego del SAST

por

El punto ciego estructural de SAST: por qué la IA de razonamiento lo cambia todo

Durante décadas, las empresas han confiado en las herramientas de Static Application Security Testing (SAST) para detectar vulnerabilidades en su código fuente. Estas herramientas funcionan comparando patrones: buscan firmas conocidas de errores, anti-patrones documentados y construcciones peligrosas. Fue un enfoque válido para una generación de amenazas. Pero en 2026, Anthropic y OpenAI demostraron de forma independiente que ese modelo tiene un techo estructural que el razonamiento basado en IA puede superar.

El 20 de febrero de 2026, Anthropic lanzó Claude Code Security en vista previa de investigación, disponible para clientes Enterprise y Team, con acceso gratuito y acelerado para mantenedores de proyectos open source. Solo 14 días después, el 6 de marzo, OpenAI respondió con Codex Security, su agente de seguridad de aplicaciones alimentado por GPT-5. Dos laboratorios. Dos arquitecturas distintas. Una conclusión idéntica: el SAST tradicional era ciego a clases enteras de vulnerabilidades.

Qué encontraron y cómo lo hicieron

Claude Code Security: 500+ vulnerabilidades de día cero

El equipo de seguridad de Anthropic utilizó Claude Opus 4.6 para analizar codebases open source de producción que habían sobrevivido décadas de revisión experta y millones de horas de fuzzing. El resultado: más de 500 vulnerabilidades de alta severidad previamente desconocidas. Un ejemplo revelador fue la librería CGIF, donde Claude descubrió un heap buffer overflow razonando sobre el algoritmo de compresión LZW, un fallo que el fuzzing guiado por cobertura no pudo detectar incluso con el 100% de cobertura de código.

La clave está en el método. En lugar de buscar patrones, Claude razona sobre el contexto: traza flujos de datos, evalúa lógica multi-archivo, analiza transiciones de estado e infiere la intención del desarrollador. Exactamente donde viven la mayoría de los bugs modernos.

Codex Security: 1,2 millones de commits analizados

OpenAI llegó desde una arquitectura diferente. Codex Security evolucionó desde Aardvark, una herramienta interna en beta privada desde 2025. Durante el periodo de beta, el agente escaneó más de 1,2 millones de commits en repositorios externos, detectando 792 hallazgos críticos y 10.561 hallazgos de alta severidad. Los proyectos afectados incluyen nombres de peso mayor en infraestructura global: OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP y Chromium. El trabajo resultó en 14 CVEs asignados.

Entre los CVEs documentados destacan CVE-2026-24881 (stack buffer overflow en gpg-agent) y CVE-2026-24882 (desbordamiento en TPM2 PKDECRYPT), vulnerabilidades que los fuzzers habían pasado por alto durante años. Además, Codex Security redujo su tasa de falsos positivos en más del 50% y la severidad sobrereportada cayó más del 90% durante el beta, lo que representa un cambio cualitativo en la relación señal-ruido que ha plagado a las herramientas de seguridad tradicionales.

Antes de actuar, Codex Security construye un modelo de amenazas específico del proyecto y valida los hallazgos en entornos sandbox con pruebas de concepto. Ningún parche se aplica sin aprobación humana.

Por qué el SAST tradicional nunca pudo ver esto

El SAST basado en patrones fue diseñado para detectar anti-patrones conocidos: inyecciones SQL evidentes, uso inseguro de funciones deprecadas, configuraciones hardcodeadas. Es una herramienta que mira el código de la misma manera que un corrector ortográfico: identifica lo que ya sabe que está mal.

El problema es que las vulnerabilidades más peligrosas de hoy no son ortográficas, son semánticas. Viven en la interacción entre componentes, en los supuestos implícitos sobre el estado del sistema, en la lógica de negocio que solo tiene sentido cuando entiendes el contexto completo. Merritt Baer, CSO de Enkrypt AI y ex Deputy CISO de AWS, lo resumió con precisión: el SAST por patrones resolvió los problemas de la última década. Los modelos de razonamiento pueden evaluar lógica multi-archivo, transiciones de estado e intención del desarrollador, que es donde viven la mayoría de los bugs modernos.

La startup de seguridad AISLE refuerza esta tesis con un dato contundente: descubrió de forma independiente las 12 vulnerabilidades de día cero en el parche de seguridad de OpenSSL de enero de 2026, incluyendo CVE-2025-15467, un stack buffer overflow potencialmente explotable de forma remota. Los fuzzers habían corrido contra OpenSSL durante años sin encontrar ninguna.

La respuesta de los vendors establecidos y el nuevo mapa del mercado

Snyk, una de las plataformas de seguridad para desarrolladores más utilizadas en el ecosistema startup, reconoció el avance técnico pero señaló el verdadero cuello de botella: encontrar vulnerabilidades nunca fue la parte difícil. El problema es remediarlas a escala, en cientos de repositorios, sin romper nada en producción. Snyk también citó un dato que los founders deben tener presente: el código generado por IA es 2,74 veces más probable de introducir vulnerabilidades que el código escrito por humanos, según el Reporte GenAI Code Security 2025 de Veracode. Los mismos modelos que encuentran zero-days también introducen nuevas clases de vulnerabilidades cuando escriben código.

Ronen Slavin, CTO de Cycode, señaló que los modelos de IA son probabilísticos por naturaleza, y que los equipos de seguridad enterprise necesitan resultados consistentes, reproducibles y auditables. Un scanner en un IDE es útil, argumentó, pero no constituye infraestructura. El SAST es una disciplina dentro de un ecosistema más amplio que incluye gobernanza, integridad de pipelines y comportamiento en runtime.

Sin embargo, la implicación de mercado es clara: cuando el escaneo estático de código de los principales labs de IA es efectivamente gratuito para clientes enterprise, el SAST tradicional se commoditiza de la noche a la mañana. Baer anticipa que el presupuesto de seguridad en los próximos 12 meses se moverá hacia tres áreas: (1) capas de runtime y análisis de rutas de ataque, (2) gobernanza de IA y seguridad de modelos (incluyendo defensas contra prompt injection), y (3) automatización de remediación. El centro de gravedad se aleja de las licencias SAST tradicionales.

El riesgo de doble uso que los founders no pueden ignorar

Hay una dimensión de este debate que trasciende la estrategia de procurement: el problema de doble uso. Cada vulnerabilidad de día cero que Anthropic y OpenAI descubrieron vive en proyectos open source de los que dependen millones de aplicaciones empresariales. Ambos labs están divulgando y parcheando de forma responsable, pero la ventana entre el descubrimiento y la adopción del parche es exactamente donde operan los atacantes.

La conclusión incómoda es inevitable: si Claude Code Security y Codex Security pueden encontrar estos bugs, los adversarios con acceso a la API también pueden. Baer fue directa al respecto: las vulnerabilidades open source descubiertas por modelos de razonamiento deben tratarse como descubrimientos de clase zero-day, no como ítems en un backlog. La ventana entre descubrimiento y explotación se acaba de comprimir, y la mayoría de los programas de gestión de vulnerabilidades siguen priorizando solo en base a puntajes CVSS.

7 acciones que debes tomar antes de tu próxima reunión de directorio

  1. Corre ambos scanners contra un subconjunto representativo de tu codebase. Compara los hallazgos de Claude Code Security y Codex Security con tu output SAST actual. El delta es tu inventario de puntos ciegos. Empieza con un repositorio representativo, no con todo tu estate.
  2. Construye el framework de gobernanza antes del piloto, no después. Trata estas herramientas como un nuevo procesador de datos para tus activos más críticos: el código fuente. Define acuerdos de procesamiento de datos con cláusulas claras sobre exclusión de entrenamiento, retención y uso de subprocesadores. Define qué código puede salir de tu perímetro y qué no.
  3. Mapea lo que ninguna herramienta cubre. Software Composition Analysis, container scanning, Infrastructure-as-Code, DAST, runtime detection. Los nuevos scanners operan en la capa de razonamiento de código. Tu stack existente maneja el resto. Lo que cambió es el poder de pricing de ese stack.
  4. Cuantifica la exposición de doble uso. Asume que los adversarios corren los mismos modelos contra los mismos codebases. Acorta la ventana entre descubrimiento, triage y parche.
  5. Prepara la comparativa para el directorio antes de que la pidan. Claude Code Security razona contextualmente y usa verificación multi-etapa. Codex Security construye un modelo de amenazas específico del proyecto y valida en sandbox. Ambas requieren aprobación humana antes de aplicar cualquier parche. El directorio necesita análisis lado a lado, no un pitch de vendor único.
  6. Monitorea el ciclo competitivo. Ambas compañías van hacia IPOs y las victorias en seguridad enterprise impulsan la narrativa de crecimiento. Cuando un scanner tiene un punto ciego, aparece en el roadmap del otro lab en semanas. Usar ambos no es redundancia: es defensa a través de diversidad de sistemas de razonamiento.
  7. Define una ventana de piloto de 30 días. Corre ambas herramientas contra el mismo codebase y deja que el delta conduzca la conversación de procurement con datos empíricos en lugar de marketing de vendors.

Conclusión

La brecha entre Anthropic y OpenAI fue de 14 días. La distancia entre los próximos lanzamientos será aún menor. Lo que está en juego no es solo una herramienta nueva en tu stack de seguridad: es un replanteamiento fundamental de cómo se detectan, priorizan y remedian las vulnerabilidades en software empresarial.

Para los founders que construyen productos con código —que son prácticamente todos en el ecosistema startup tech— el mensaje es claro: el SAST por patrones fue el cinturón de seguridad de la generación anterior. El razonamiento de IA es el estándar de la nueva. Y como con todo cambio de estándar, quienes lo adopten primero definirán las reglas de la próxima década de seguridad en software.

La ventana entre el descubrimiento de una vulnerabilidad y su explotación se ha comprimido. Los atacantes lo saben. Ahora tú también.

Descubre cómo otros founders implementan IA en seguridad y escalan con menos riesgo. Únete gratis a la comunidad de Ecosistema Startup.

Aprender con founders

Fuentes

  1. https://venturebeat.com/security/anthropic-openai-sast-reasoning-scanners-security-directors-guide (fuente original)
  2. https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html (fuente adicional)
  3. https://openai.com/index/codex-security-now-in-research-preview/ (fuente adicional)
  4. https://fortune.com/2026/02/06/anthropic-claude-ai-model-cybersecurity-security-vulnerabilities-risks/ (fuente adicional)
  5. https://www.helpnetsecurity.com/2026/03/09/openai-codex-security-feature/ (fuente adicional)
  6. https://securityboulevard.com/2026/02/claude-code-security-why-the-real-risk-lies-beyond-code/ (fuente adicional)
  7. https://www.eweek.com/news/openai-codex-security-ai-agent-enterprise-vulnerabilities/ (fuente adicional)
  8. https://cycode.com/blog/anthropic-claude-code-security-appsec/ (fuente adicional)
  9. https://aisle.com/blog/aisle-discovered-12-out-of-12-openssl-vulnerabilities (fuente adicional)
¿te gustó o sirvió lo que leíste?, Por favor, comparte.
LinkedInPrintRedditTelegramWhatsApp

Artículos relacionados:

GPT-5.3-Codex agente de IA avanzada para desarrollo de software con razonamiento dinámico y seguridad mejorada en startups tecnológicas.GPT-5.3-Codex: IA Avanzada para Desarrollo de Software 2026 Interfaz holográfica de agentes autónomos de IA colaborando, representando la orquestación multi-agente del OpenAI Codex con un millón de descargas en startups tecnológicas.Codex de OpenAI supera 1M descargas: IA y multi-agentes Competencia visual entre GPT-5.3-Codex y Claude Opus 4.6 en IA para código, destacando la automatización y la batalla en el mercado de software empresarial.GPT-5.3-Codex vs Claude Opus 4.6: Guerra de IA para Código Fundador tecnológico trabajando con interfaces holográficas de codificación agentic del modelo GPT-5.3-Codex de OpenAI en ecosistema startup.OpenAI lanza GPT-5.3-Codex: el modelo agentic que compite con Anthropic Herramienta de IA Claude Code Security detectando vulnerabilidades graves en código para mejorar la seguridad informática.Claude Code Security de Anthropic: IA que detecta 500+ bugs

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly