La IA escriu codi. Qui el revisa?

La IA escriu codi: per què la revisió humana és vital

Per què la intel·ligència artificial és una eina brutal per desenvolupar software, però no pot substituir la revisió humana en seguretat, arquitectura i lògica de negoci.

Copilot, Cursor, Claude, ChatGPT, Gemini… El 2026, qualsevol persona amb una idea i un prompt pot generar codi funcional en minuts. I funciona. De vegades fins i tot és elegant.

El problema no és que la IA escrigui codi. El problema és que el codi sembla correcte. Compila. Passa tests bàsics. I amaga vulnerabilitats que ningú ha revisat.

A Undercoverlab usem IA cada dia. Ens accelera. Ens permet explorar solucions més ràpid. Però cada línia que genera passa per revisió humana. Aquí expliquem per què.

Les dades: què diuen els estudis

No estem parlant d’opinions. Hi ha estudis recents amb dades contundents sobre la seguretat del codi generat per IA:

Font Dada clau Detall
Veracode (2025) 45% del codi IA té falles 100+ models testats, 4 llenguatges
CodeRabbit (2025) 1.57x més problemes de seguretat 2.74x més vulnerabilitats XSS
Opsera (2026) 15-18% més vulnerabilitats 250.000+ desenvolupadors analitzats
OWASP LLM Top 10 Prompt injection, supply chain, data poisoning Framework de referència global
Georgetown CSET 40% de Copilot vulnerable CWE Top 25 MITRE

La dada més preocupant: els models més grans i moderns no generen codi significativament més segur que els antics. El problema no es resol amb més paràmetres o més entrenament. És estructural.

4 riscos reals que veiem cada setmana

Aquests no són riscos teòrics. Són problemes que trobem en auditar codi que clients ens porten després de treballar amb IA sense supervisió:

1. Dependències desactualitzades amb vulnerabilitats conegudes

La IA suggereix paquets i llibreries basant-se en el seu entrenament, que pot ser de fa mesos o anys. Això significa que sovint recomana versions amb vulnerabilitats ja documentades (CVEs). El codi funciona, però estàs important una porta oberta.

Exemple real: Un client ens va portar una app generada amb IA que usava una versió de PyTorch amb un exploit conegut (Shadow Ray). L’app funcionava perfectament. També era perfectament atacable.

2. Injeccions SQL i XSS sense sanititzar

Segons l’informe de Veracode, el 86% de les mostres de codi generat per IA van fallar davant atacs XSS (cross-site scripting) i el 88% eren vulnerables a injeccions de log. La IA genera consultes a bases de dades que funcionen, però no les protegeix contra entrades malicioses.

Què significa això: Qualsevol persona amb coneixements bàsics pot manipular un formulari del teu web per accedir a dades que no hauria de veure, modificar-les o esborrar-les.

3. Tokens i claus d’API hardcodejats dins el codi

La IA tendeix a posar credencials directament al codi per simplificar. Si aquest codi es puja a un repositori (GitHub, GitLab), les teves claus queden exposades públicament. Bots automatitzats escanegen GitHub constantment buscant exactament això.

Conseqüència: Accés no autoritzat a serveis de pagament, bases de dades, serveis cloud. Hem vist casos on un token exposat ha costat milers d’euros en càrrecs fraudulents a AWS.

4. Lògica de negoci incorrecta que “funciona”

Aquest és potser el risc més subtil. El codi compila, passa tests, l’app funciona… però no fa el que el negoci necessita. La IA no entén el context del teu negoci. No sap que aquell càlcul de preus hauria d’incloure l’IGI andorrà, o que aquell workflow d’aprovació necessita doble validació per imports superiors a 10.000€.

El codi més car és el que resol el problema equivocat.

Per què la IA comet aquests errors?

No és que la IA sigui “dolenta”. És que està entrenada per predir el codi més probable, no el més segur. Hi ha una diferència fonamental:

  • Objectiu de la IA: generar codi que compili i faci el que li demanes.
  • Objectiu d’un desenvolupador: generar codi que funcioni, sigui segur, sigui mantenible, escali bé i resolgui el problema correcte.

La IA optimitza per la primera condició. Un desenvolupador ha d’optimitzar per totes cinc.

A més, els models entrenen amb codi públic de GitHub i StackOverflow. Gran part d’aquest codi no segueix bones pràctiques de seguretat. La IA reprodueix els mateixos errors que els humans ja cometien, però ara a escala industrial.

Com ho fem a Undercoverlab

No som anti-IA. L’usem cada dia. Però l’usem com una eina dins un procés, no com el procés sencer. Així funciona el nostre workflow:

  1. Definició de requisits amb el client. Abans de tocar codi, entenem el negoci. Què ha de fer el producte, per a qui, amb quines restriccions.
  2. Arquitectura i disseny. Decidim l’estructura, la tecnologia i les integracions. La IA no pren decisions d’arquitectura.
  3. Desenvolupament assistit per IA. Usem IA per accelerar la generació de codi base, tests i documentació. Però cada output es revisa.
  4. Revisió de seguretat. Anàlisi de dependències, sanitització d’inputs, gestió de secrets, validació de lògica de negoci.
  5. Testing i QA. Tests automatitzats + revisió manual de casos límit i edge cases.
  6. Desplegament controlat. CI/CD amb checks de seguretat automàtics abans de cada desplegament.

La IA participa al pas 3. Un desenvolupador participa a tots sis.

Què hauries de fer si uses IA per al teu projecte

Si estàs desenvolupant un producte digital i uses IA (directament o a través del teu equip), aquí tens una checklist mínima de seguretat:

  • Audita les dependències — Usa eines com Snyk, Dependabot o npm audit per detectar paquets amb vulnerabilitats conegudes.
  • Sanititza totes les entrades — Qualsevol input d’usuari (formularis, URLs, APIs) ha d’estar validat i escapat.
  • Mai hardcodejis secrets — Usa variables d’entorn i serveis de gestió de secrets (Vault, AWS Secrets Manager, etc.).
  • Revisa la lògica de negoci — No confiïs que la IA entengui el teu context de negoci. Valida manualment que els càlculs, workflows i regles siguin correctes.
  • Implementa code review obligatori — Cap codi hauria d’arribar a producció sense que un humà l’hagi revisat.
  • Posa checks de seguretat al pipeline — Integra SAST/DAST al teu CI/CD per detectar vulnerabilitats abans de cada desplegament.

Conclusió

La IA no és el problema. El problema és confiar en ella sense supervisió.

Un desenvolupador no és algú que escriu codi. És algú que entén per què aquell codi existeix, què passa si falla, i com protegir-lo. Això no ho farà cap model de llenquatge, per molt avançat que sigui.

Usa la IA. Aprofita-la. Però posa un humà al mig.

────────────────────────────────────────

Tens un projecte digital i vols assegurar-te que el codi està bé?

A Undercoverlab oferim una consulta gratuïta de 20 minuts on revisem el teu cas i t’orientem sense compromís.

Escriu-nos: hello@undercoverlab.com

────────────────────────────────────────

Fonts i referències

Comparteix:
Parlem?