Seguridad y cumplimiento en flujos de trabajo agénticos: la capa de gobernanza que los equipos están pasando por alto
Imagina esto. Un agente de codificación de GitHub Copilot toma un issue, crea una rama, escribe la implementación en cuatro archivos, agrega pruebas y abre un pull request. El CI pasa. El escaneo de código no reporta alertas. Un desarrollador revisa el diff, lo aprueba y hace merge. El cambio se despliega a producción a través de un pipeline de despliegue automatizado.
Tres semanas después, una prueba de penetración descubre que el código generado por el agente introdujo una vulnerabilidad de falsificación de solicitudes del lado del servidor. El código era sintácticamente limpio, las pruebas cubrían el camino feliz, y el revisor no detectó la falla porque la lógica se veía razonable de forma aislada. Ahora el equipo necesita responder una pregunta para la cual su modelo de seguridad nunca fue diseñado: ¿quién es responsable del código que ningún humano escribió?