• Deportes
  • Entretenimiento
  • Mundo
  • Negocio
  • Noticias
  • Salud
  • Tecnología
Notiulti
Noticias Ultimas
Inicio » JavaScript
Tag:

JavaScript

Tecnología

Ataque por inyección en revisiones de código con IA: cómo Cloudflare alerta sobre riesgos en herramientas de desarrollo

by Editor de Tecnologia mayo 4, 2026
written by Editor de Tecnologia

Lo siento, parece que no he podido acceder al contenido específico del artículo de SecurityBrief Australia sobre la advertencia de Cloudflare acerca de la inyección de prompts en revisiones de código con IA. Sin embargo, basándome en los resultados de búsqueda y en el contexto general, puedo ofrecerte una versión en español del artículo utilizando la información disponible y los hallazgos de Cloudflare.

Aquí tienes el contenido del artículo en formato HTML, respetando las reglas de estilo y verificación:


Cloudflare advierte sobre inyección de prompts en revisiones de código con IA: un riesgo emergente

Cloudflare ha publicado una investigación que revela cómo los atacantes pueden engañar a los modelos de inteligencia artificial utilizados en revisiones de seguridad de código mediante la técnica conocida como inyección de prompts indirectos. Según el estudio, que analizó siete modelos de IA a través de 18,400 llamadas a APIs, los ciberdelincuentes pueden manipular las evaluaciones automatizadas insertando comentarios engañosos en el código fuente.

Cloudflare advierte sobre inyección de prompts en revisiones de código con IA: un riesgo emergente
Estos Cloudforce One Cloudflare Workers

El equipo de inteligencia de amenazas de Cloudflare, conocido como Cloudforce One, examinó 100 scripts maliciosos o abusivos de Cloudflare Workers para determinar si los comentarios incrustados en el código podían inducir a los modelos de lenguaje grande a emitir juicios benignos falsos sobre código dañino.

Método de engaño: comentarios engañosos en el código

En lugar de intentar romper directamente los modelos de IA, los atacantes insertan bloques de texto comentado en el código fuente. Estos comentarios instruyen a los revisores automatizados para que consideren el código como inofensivo, legítimo o rutinario, incluso cuando el script es malicioso.

El estudio identificó lo que denominaron una «zona de elusión», donde los comentarios engañosos representaban menos del 1% del archivo. En ese rango, las tasas de detección promedio entre los modelos probados cayeron al 53.3%, frente a un 67.3% en el mismo código malicioso sin los comentarios engañosos añadidos. Sin embargo, cuando los comentarios se volvieron demasiado numerosos, la táctica a menudo se volvió contra los atacantes. En proporciones superiores al 25% del archivo, la detección aumentó al 97.9%, y por encima del 50% alcanzó el 98.9%, lo que sugiere que muchos modelos interpretaron la repetición excesiva como una señal de fraude.

Variabilidad entre modelos de IA

Los resultados también mostraron una resistencia desigual entre los sistemas. Un modelo no líder en innovación vio su tasa de detección caer del 90% al 67% con solo 20 comentarios insertados. Por el contrario, varios modelos avanzados fueron resistentes a la manipulación de bajo volumen y, en algunos casos, aumentaron la probabilidad de marcar el código malicioso al incrementarse el volumen de comentarios.

Ataque con inyección de código SQL a sitio web

Algunos modelos mostraron sesgos lingüísticos, tratando comentarios en ruso, chino o árabe como señales de mayor riesgo, mientras que otros parecían más confiados con comentarios en estonio. En volúmenes altos, un modelo no líder aumentó la detección de código malicioso en 14 puntos porcentuales cuando los comentarios estaban escritos en ruso.

El tamaño del archivo como factor clave

El estudio también reveló que el tamaño del archivo influyó significativamente en la capacidad de detección. Para archivos de Workers menores a 500 KB, la tasa de detección fue cercana al 100%. Sin embargo, para archivos mayores a 3 MB, la detección cayó entre un 12% y un 18%. Esto ocurrió cuando la lógica maliciosa estaba oculta dentro de grandes paquetes de código legítimo, como bibliotecas de React SDK o TON.

Cloudflare describió este fenómeno como una debilidad estructural, más que lingüística. La implicación es clara: los atacantes no necesitan convencer a un revisor de IA de que un archivo es seguro; pueden simplemente ahogar la señal maliciosa en un exceso de material benigno.

Consecuencias en pipelines automatizados

Algunos modelos avanzados sufrieron un «colapso de formato» bajo volúmenes extremos de comentarios, devolviendo salidas ilegibles o negativas en lugar de un veredicto útil sobre si el código era malicioso o benigno. En un entorno de pipeline automatizado, este tipo de fallo podría evitar que se desencadenen acciones de bloqueo.

Estos hallazgos subrayan los riesgos de depender de modelos de IA optimizados para costos en flujos de trabajo de seguridad automatizados. Además, sugieren que los resultados defensivos pueden variar significativamente dependiendo de cómo un modelo evalúe el lenguaje natural frente al código ejecutable.


Nota: Si el artículo original contiene embeds específicos (como videos o imágenes), por favor indícalo para que pueda incluirlos exactamente como aparecen en el contenido original. Actualmente, no he identificado ningún bloque de iframe, imagen o embed en el texto proporcionado.

mayo 4, 2026 0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

API Invoker Commands HTML: Botones Interactivos sin JavaScript

by Editor de Tecnologia enero 28, 2026
written by Editor de Tecnologia

La API de Comandos Invoker de HTML ha alcanzado soporte básico en todos los navegadores principales, con Safari 26.2 completando la implementación tras lanzamientos anteriores en Chrome 135 y Firefox 144. Esta funcionalidad introduce controles de botón declarativos que eliminan la necesidad de JavaScript al trabajar con popovers, diálogos y otros elementos interactivos.

La API de Comandos Invoker añade dos nuevos atributos a los elementos botón: commandfor y command. El atributo commandfor recibe el ID del elemento a controlar, mientras que command especifica la acción a realizar. Este enfoque declarativo permite a los desarrolladores crear componentes interactivos sin escribir listeners de eventos o esperar a que JavaScript se descargue y ejecute, mejorando la interactividad inicial de la página.

Los comandos integrados admiten operaciones comunes para popovers y diálogos. Para popovers, los desarrolladores pueden utilizar los comandos toggle-popover, show-popover y hide-popover. Los diálogos admiten los comandos show-modal y close. A continuación, se muestra un ejemplo de implementación declarativa de un popover:




Popover content

La API también permite comandos personalizados, que deben tener como prefijo dos guiones, de forma similar a las propiedades personalizadas de CSS. Los desarrolladores pueden escuchar estos comandos utilizando el evento command y comprobar el nombre del comando en el objeto del evento. Esto permite a los autores de componentes crear APIs declarativas para sus componentes web sin necesidad de que los consumidores escriban JavaScript.

Un artículo en Medium describió la API como la API más interesante que aún no estás utilizando y expresó entusiasmo que los invokers permiten que tus botones realmente hagan cosas sin JavaScript.

El desarrollador Pawel Grzybek señaló que cada vez que la web lanza nuevas funcionalidades que nos permiten trasladar la implementación hacia la izquierda en la pila, me emociona, describiendo la API como mover la implementación de los controladores de clics de los botones hacia arriba en el HTML.

En otro lugar, CSS-Tricks observó que los comandos personalizados dependen de atributos de controladores de eventos HTML, señalando esto puede ser un poco (o definitivamente mucho) controvertido ya que el uso de atributos de controladores de eventos HTML se considera una mala práctica.

Para los desarrolladores que actualmente utilizan los atributos popovertarget y popovertargetaction, la API de Comandos Invoker proporciona un enfoque más unificado. Los popovers ahora pueden utilizar los atributos específicos de popover existentes o los nuevos atributos command y commandfor, lo que permite una migración gradual.

En comparación con bibliotecas como HTMX, que proporcionan controles declarativos a través de atributos personalizados, los Comandos Invoker ofrecen una funcionalidad similar como una característica nativa de la plataforma. El explainer de Open UI señala que, si bien el lanzamiento inicial se centra en popovers y diálogos, el soporte para elementos adicionales como

se pospuso, pero podría agregarse en iteraciones futuras.

La API de Comandos Invoker está definida en la especificación HTML de WHATWG y representa un esfuerzo continuo para reducir las dependencias de JavaScript para patrones interactivos comunes. Al permitir a los desarrolladores crear componentes interactivos de forma declarativa, la API mejora tanto la experiencia del desarrollador como la del usuario a través de cargas iniciales de página más rápidas y un marcado más accesible.

enero 28, 2026 0 comments
0 FacebookTwitterPinterestLinkedinEmail
  • Aviso Legal
  • Política de Cookies
  • Términos y Condiciones
  • Política de Privacidad
  • CONTACTO
  • Política de Correcciones
  • Equipo Editorial
  • Política Editorial
  • SOBRE NOTIULTI

© 2026 Notiulti. Todos los derechos reservados.
Para contacto, publicidad, derechos de autor o incidencias, escriba a: office@notiulti.com


Back To Top

Para contacto, publicidad, derechos de autor o incidencias, escriba a: office@notiulti.com

Notiulti
  • Deportes
  • Entretenimiento
  • Mundo
  • Negocio
  • Noticias
  • Salud
  • Tecnología

Para contacto, publicidad, derechos de autor o incidencias, escriba a: office@notiulti.com