Un hilo en Hacker News que está creciendo rápidamente ahora mismo trata sobre algo bastante sensacional: el desarrollador Michael Lynch dejó que Claude Code se encargara del código fuente de Linux, y el agente descubrió una vulnerabilidad en un controlador que ha estado en el kernel desde 2002. Dos décadas y miles de revisiones de código humanas. Nada. Luego, una IA tarda unos minutos.

Esto es, por supuesto, una señal temprana de una fuente comunitaria, y aún no conocemos todos los detalles sobre la gravedad o si es realmente explotable en la práctica. Pero la premisa en sí es lo que hace que la gente preste atención.

Lo que hace esto aún más interesante es cómo ocurrió el hallazgo. Lynch no estaba necesariamente buscando errores de seguridad — utilizó Claude Code como una herramienta de análisis general. Esto sugiere que la revisión de código asistida por IA puede descubrir vulnerabilidades reales como una especie de efecto secundario, sin que sea el objetivo principal.

Cuando una herramienta encuentra accidentalmente un error de 23 años, la pregunta de qué habría encontrado si realmente lo hubiera intentado se vuelve bastante relevante.

La sección de comentarios en HN es, como siempre, una mezcla de entusiasmo y escepticismo saludable. Algunos señalan que las herramientas SAST clásicas y la verificación formal teóricamente deberían detectar tales cosas. Otros argumentan que los LLM operan más como un revisor humano experimentado — entienden el contexto y la intención, no solo la sintaxis y las reglas.

Y es precisamente aquí donde esto toca algo más grande. Los informes de investigación de 2025-2026 muestran que el código generado por IA introduce problemas de seguridad en casi la mitad de los casos (Veracode, 2025), mientras que un 81% de las organizaciones carecen de una visión general de dónde se encuentra realmente el código generado por IA en su stack. Esa es una combinación bastante tóxica: más código de IA entrando, pero poco control de seguridad sistemático impulsado por IA saliendo.

Entonces, ¿qué significa esto concretamente? Dos cosas:

1. El análisis retrospectivo de código de repente se vuelve muy interesante. Si Claude Code puede tropezar con un error de 23 años de forma casual, ¿qué acecha en tu base de código heredada?

2. La pregunta de quién encuentra primero las vulnerabilidades se vuelve más aguda. La comunidad de seguridad ha hablado durante mucho tiempo sobre que los actores de amenazas utilizarán la IA para automatizar la búsqueda de vulnerabilidades. Este es un ejemplo concreto de que el lado defensivo también puede hacerlo — pero es una carrera.

Estamos siguiendo este caso. Verifique usted mismo a través del blog de Lynch y el hilo de HN antes de sacar conclusiones demasiado firmes — esto sigue siendo una señal temprana, no un informe revisado por pares.