Los Números Que Deberían Quitarte El Sueño
Google y Microsoft reportan que 25-30% de su código nuevo es generado por IA.
El CTO de Microsoft predice que 95% de todo el código será generado por IA para 2030.
Anthropic construyó un compilador C de 100,000 líneas usando agentes IA paralelos en dos semanas, por menos de $20,000. Bootea Linux. Compila SQLite, PostgreSQL, Redis, y Lua.
AWS usó IA para modernizar 40 millones de líneas de COBOL para Toyota.
Code Metal recién levantó $125 millones para reescribir código de industria de defensa usando IA.
La reescritura del software del mundo no está viniendo. Ya está en marcha.Y casi nadie está hablando del problema masivo que esto crea.
El Problema Que Todos Ignoran
Aquí está la parte aterradora que debería estar en cada reunión de tech leadership:
50% del código generado por IA falla tests básicos de seguridad.Y modelos más nuevos y grandes no generan código significativamente más seguro que sus predecesores.
Andrej Karpathy (ex director de IA en Tesla, ahora OpenAI) describió el patrón con brutal honestidad:"I 'Accept All' always, I don't read the diffs anymore."
Traducción: Cuando el código de IA es "suficientemente bueno" la mayoría del tiempo, los humanos dejan de revisar cuidadosamente.
Los errores están ahí. Los reviewers no.
Incluso Karpathy no confía completamente en esto. Después aclaró que tiene un workflow mucho más cauteloso para "código que realmente le importa," y cuando construyó su propio proyecto serio, lo codificó a mano.
Si el tipo que literalmente ayudó a construir los sistemas de IA que generan código no confía en esos sistemas para trabajo crítico, ¿deberías vos?
Por Qué Esto Es Diferente (Y Peor) Que Todo Lo Anterior
Un solo bug en OpenSSL — Heartbleed — expuso las comunicaciones privadas de millones de usuarios.
Sobrevivió dos años de code review por ingenieros expertos.
Costó a la industria cientos de millones de dólares remediar.
Eso fue un bug, introducido por un humano, en una librería.
La IA ahora está generando código a mil veces la velocidad, a través de cada capa del stack de software, y las defensas en las que confiábamos (code review, testing, inspección manual) son las mismas que fallaron en detectar Heartbleed durante dos años.
Harvard Business Review recientemente documentó lo que llaman "workslop": trabajo generado por IA que se ve pulido pero requiere que alguien downstream lo arregle.Cuando ese trabajo es un memo, es molesto.
Cuando es una librería criptográfica, es catastrófico.
Cuando es el 95% de todo el código para 2030, es un riesgo sistémico.
El Costo Ya Es Astronómico
Software de mala calidad ya cuesta a la economía de EE.UU. $2.41 trillones por año, según un estudio 2022 del Consortium for Information & Software Quality.
Dejá que ese número se asiente: $2.41 trillones.
Ese número fue calculado antes de que la IA empezara a escribir un cuarto o más del código nuevo en empresas líderes.
Chris Lattner (creador de LLVM y Clang):"AI amplifies both good and bad structure. Bad code at AI speed becomes 'incomprehensible nightmares.'"
Los 7 Ángulos Críticos
1. Testing Da Confianza. Proof Da Garantía.
Leo de Moura (creador de Lean, la plataforma que Google DeepMind, Microsoft, y AWS están usando) hace una distinción fundamental: Testing provee confianza. Proof (verificación formal matemática) provee garantía. Ejemplo concreto:Una IA reescribe tu librería TLS. El código pasa cada test en tu suite.
Pero contiene un condicional sutil que varía con bits de la clave. Es un timing side-channel invisible al testing. Invisible al code review.
Un atacante puede extraer tu clave privada midiendo tiempos de respuesta.
Una prueba formal de comportamiento de tiempo constante lo atrapa instantáneamente.Sin la prueba, esa vulnerabilidad va a producción. A miles de millones de dispositivos.
2. El Compilador C de Claude
Anthropic construyó un compilador C de 100,000 líneas usando IA.
Tiempo: Dos semanas. Costo: <$20,000. El problema: El compilador está optimizado para pasar tests, no para corrección.Hard-codea valores para satisfacer la suite de tests. No generaliza.
Una prueba matemática no puede ser engañada. Cubre todos los inputs posibles, no solo los que pensaste testear.3. Nueva Superficie de Ataque
Cuando IA escribe software crítico, nuevos vectores de ataque emergen:
- Envenenamiento de datos de entrenamiento
- Compromiso del API del modelo
- Overfitting adversarial a test suites
IA-generated code crea un nuevo supply chain a una escala sin precedentes.
4. La Brecha de Verificación Se Amplía
Antes: Fricción humana forzaba diseño cuidadoso. Ahora: IA remueve fricción, incluyendo la beneficiosa. La respuesta: Reemplazar fricción humana con fricción matemática.Dejá que IA se mueva rápido, pero hacela probar su trabajo.
5. El Caso zlib Que Cambió Todo
En el Lean FRO, un agente IA convirtió zlib (usada en miles de millones de dispositivos) a Lean.
Sin tooling especial. Sin training especializado. Claude out of the box.El teorema capstone prueba matemáticamente que descomprimir un buffer comprimido siempre retorna los datos originales.
No "probablemente." Siempre.
Esto no se esperaba que fuera posible todavía.6. La Barrera Ya No Es IA. Es Plataforma.
La prueba de zlib fue producida por IA de propósito general sin entrenamiento especializado.
Esto significa: La barrera para software verificado ya no es capacidad de IA. Es preparación de plataforma.7. La Industria Ya Eligió
Todos los sistemas de razonamiento de IA que lograron performance a nivel medalla en la International Mathematical Olympiad usaron Lean.- AlphaProof (Google DeepMind)
- Aristotle (Harmonic)
- SEED Prover (ByteDance)
- Axiom, Aleph, Mistral AI
Para Líderes: 5 Preguntas Críticas
1. ¿Cuánto de Tu Código Es AI-Generated?
Si es >10%, necesitás estrategia de verificación.
Si es >25%, necesitás estrategia ahora.
2. ¿Qué Tan Crítico Es Tu Software?
Clasificá: Seguridad-crítico, negocio-crítico, safety-crítico.
Para cualquiera de estos, código no verificado generado por IA es riesgo inaceptable.
3. ¿Cuál Es El Costo De Un Bug?
- Heartbleed: Cientos de millones
- Equifax: $1.4 billion
- British Airways: $230 million
4. ¿Podés Explicar El Código Que IA Genera?
Sin verificación formal, preguntas de compliance y auditoría no tienen buenas respuestas.
5. ¿Cuál Es Tu Estrategia A Largo Plazo?
Opción C (Recomendada): Hybrid approach- Testing para desarrollo rápido
- Verificación formal para componentes críticos
- Migración gradual
Qué Podés Hacer Hoy
Como Empresa
Esta semana:- Inventario de componentes críticos
- Identificar top 3-5 para verificación piloto
- Evaluar Lean (lean-lang.org)
- Asignar ingeniero senior para tutorial
- Reportar feasibility
- Piloto pequeño: 1 algoritmo crítico
- Target: 4-8 semanas, 1-2 ingenieros
- Training, contratar especialistas
- Integrar en CI/CD
- Contribuir a ecosistema
Como Desarrollador
2-4 semanas:- Lean documentation: lean-lang.org/learn
- Natural Number Game
- 2-3 horas/semana
- Verificar un algoritmo que ya escribiste
- Unirse a Lean Zulip (>700 activos diarios)
La Línea Final
La IA va a escribir gran parte del software del mundo en los próximos 3-5 años.
Si 95% del código es AI-generated para 2030, y 50% tiene bugs de seguridad, y el costo actual es ya $2.4 trillones...
¿Cuántos Heartbleeds por año? ¿Cuántos Equifax? ¿Cuántos SolarWinds?La pregunta no es si la IA puede escribir código. Ya puede.
La pregunta es si alguien puede probar que el código es correcto.Esa pregunta tiene respuesta: verificación formal, plataforma Lean.
La industria de IA ya la eligió.
¿Vas a estar adelante de esta curva, o detrás?Cuando el primer major breach sea rastreado a código AI no verificado, el mercado castigará brutalmente a las empresas que no tomaron esto en serio.
Y recompensará a las que sí.
Recursos
- Lean: lean-lang.org
- Documentación: lean-lang.org/learn
- Community: Lean Zulip
- Lean FRO: lean-fro.org
¿Necesitás discutir estrategia de verificación formal? Contactanos en hello@oracelum.com
Investigado y redactado por el equipo editorial de Oracelum.