Salt Security ha presentado Salt Code, una nueva pieza de su plataforma de seguridad agéntica pensada para un problema que ya empieza a preocupar a muchas empresas: el código generado por asistentes de inteligencia artificial crece más rápido que la capacidad de los equipos de seguridad para revisarlo. La compañía lo plantea como una solución para aplicar políticas de seguridad directamente dentro de herramientas como Claude Code, Cursor, GitHub Copilot, Windsurf, Kiro, Codex, Gemini CLI o Antigravity, desde el primer prompt hasta producción.
El anuncio refleja un cambio importante en el desarrollo de software. La IA ya no se usa solo para completar líneas sueltas o acelerar tareas repetitivas. En muchas organizaciones empieza a escribir componentes completos, generar APIs, modificar configuraciones, proponer integraciones y participar en flujos de trabajo cada vez más autónomos. El problema es que esos asistentes no conocen por defecto las políticas internas de cada empresa, sus requisitos regulatorios, sus estándares de arquitectura ni sus decisiones históricas de seguridad.
El nuevo riesgo del código generado por IA
Salt Security parte de una premisa incómoda: las herramientas tradicionales de seguridad llegan tarde. SAST, DAST, revisiones de código y controles en CI/CD siguen siendo necesarios, pero suelen detectar los problemas después de que el código ya se ha escrito. En ese momento, corregir implica reescribir, abrir tickets, retrasar despliegues y negociar prioridades entre desarrollo y seguridad.
Con Salt Code, la compañía quiere mover esa validación al momento de creación. La idea es que el asistente de programación genere código conforme a las políticas de la organización por defecto, sin depender de que el desarrollador recuerde añadir una instrucción de seguridad en el prompt o consulte una guía interna alojada en un wiki.
El contexto explica por qué este enfoque gana relevancia. Salt cita datos de mercado según los cuales GitHub Copilot ya está desplegado en el 90 % de las compañías Fortune 100 y alcanzó 4,7 millones de suscriptores de pago en enero de 2026. También recoge que los asistentes de programación generan ya el 46 % del código escrito por desarrolladores en GitHub, mientras que la encuesta de Sonar de 2026 sitúa el código generado o asistido por IA en el 42 % del código empresarial, con previsión de superar el 50 % en 2027.
La cifra más delicada está en la seguridad. Según pruebas de Veracode citadas por Salt, el 45 % de las muestras de código generadas por modelos de lenguaje en tareas sensibles introdujo vulnerabilidades del OWASP Top 10. La compañía también menciona un análisis de CodeRabbit que atribuye a las pull requests generadas por IA 2,74 veces más vulnerabilidades que las escritas por humanos. Como siempre con este tipo de datos, conviene leerlos en su contexto, pero el mensaje general es difícil de ignorar: si la IA escribe una parte creciente del software, también puede amplificar patrones inseguros a gran escala.
| Área | Qué plantea Salt Code | Por qué importa |
|---|---|---|
| Generación de código | Aplica políticas mientras el asistente escribe | Evita que ciertos errores entren desde el inicio |
| Gobierno unificado | Define estándares una vez y los aplica en varios entornos | Reduce diferencias entre equipos, asistentes y repositorios |
| MCP | Usa servidores compatibles con Model Context Protocol | Permite integrarse con asistentes modernos y flujos agénticos |
| CI/CD | Valida políticas en el pipeline | Bloquea incumplimientos antes de producción |
| Runtime | Monitoriza APIs, MCP y agentes en ejecución | Comprueba el comportamiento real, no solo el diseño |
| Remediación | Devuelve hallazgos al flujo del desarrollador | Facilita correcciones accionables y mejora continua |
| Integraciones | GitHub, GitLab, Bitbucket, VS Code, Jira, ServiceNow y CI/CD | Encaja en herramientas ya usadas por desarrollo y seguridad |
Políticas de seguridad que viajan con el código
El núcleo de Salt Code es el Posture Governance Engine de Salt, una capa de políticas que define estándares de seguridad y cumplimiento y los aplica en distintos puntos del ciclo de vida. Con esta nueva solución, ese modelo se extiende a tres planos especialmente relevantes en sistemas agénticos: código, configuración del plano de control y comportamiento en runtime.
La compañía incluye una biblioteca de políticas preconfiguradas que cubre OWASP API Top 10, MCP Security Top 10, LLM Security Top 10, cumplimiento OpenAPI/Swagger y marcos regulatorios comunes. También permite incorporar políticas propias de cada organización, algo necesario para empresas con normas internas sobre autenticación, autorización, gestión de secretos, exposición de APIs, tratamiento de datos sensibles o uso de determinados patrones de arquitectura.
Una de las claves técnicas está en MCP, el Model Context Protocol creado originalmente por Anthropic y adoptado por OpenAI, Google y Microsoft. MCP permite que asistentes de IA se conecten a contexto externo y herramientas. Salt Code utiliza este enfoque para integrarse con asistentes y flujos compatibles, de forma que la política de seguridad pueda actuar sobre el proceso de generación y revisión.
La promesa es ambiciosa: un único estándar aplicado a todos los desarrolladores, desde equipos senior hasta perfiles menos técnicos que usan herramientas de “vibe coding” o prototipado rápido. Salt sostiene que así se evita que cada asistente, repositorio o equipo funcione con reglas distintas.
Del shift left al control en runtime
Salt Code no se limita a revisar el código antes de producción. La solución cubre cinco fases: descubrimiento, aplicación durante la generación, gobierno en pipeline, validación en runtime y remediación. Esta cobertura es importante porque muchos fallos de seguridad no se entienden bien hasta que una API, una integración MCP o un agente empiezan a ejecutarse en condiciones reales.
En la fase de descubrimiento, Salt Code identifica APIs, servidores MCP e integraciones de agentes en repositorios y entornos cloud. Durante la generación, aplica políticas en tiempo real dentro del asistente. En CI/CD, valida esas políticas y bloquea violaciones antes de producción. Una vez desplegado el sistema, monitoriza comportamiento en APIs, integraciones y agentes para detectar desviaciones, brechas de postura o actividad anómala.
El enfoque apunta a una continuidad que muchas herramientas de seguridad no tienen. Lo habitual es que una solución revise código, otra escanee dependencias, otra proteja APIs y otra monitorice producción. Salt quiere conectar esas capas con el mismo modelo de políticas. Si funciona como promete, seguridad no tendría que traducir manualmente requisitos entre documentos, pipelines y alertas de runtime.
El anuncio también encaja con un problema creciente de gobierno en la IA empresarial. Las organizaciones están adoptando asistentes de código a gran velocidad, pero no siempre tienen visibilidad sobre qué herramientas usan sus desarrolladores, qué extensiones instalan, qué repositorios tocan, qué código generan o qué patrones inseguros se repiten. Salt Code intenta colocar una capa común por encima de esa diversidad.
Para los equipos de seguridad, esto puede reducir el ruido si evita que ciertos errores lleguen al pipeline. Para los desarrolladores, el éxito dependerá de que la herramienta no se convierta en otro bloqueo opaco. La seguridad integrada en el asistente solo será aceptada si ofrece correcciones comprensibles, baja fricción y respuestas alineadas con el contexto real del proyecto.
Salt Security afirma que Salt Code está disponible desde el 1 de junio de 2026. Los clientes actuales lo reciben sin coste adicional dentro de su licencia existente, mientras que las organizaciones que no son clientes pueden solicitar acceso gratuito mediante un programa Early Access limitado a las primeras 100 empresas. Ese acceso incluye cuatro paquetes de políticas preconstruidas: OWASP API Top 10, MCP Security Top 10, LLM Security Top 10 y cumplimiento OpenAPI/Swagger.
La llegada de Salt Code muestra hacia dónde se mueve el mercado. A medida que la IA escriba más código, la seguridad no podrá seguir funcionando solo como revisión posterior. Tendrá que entrar en el prompt, en el asistente, en el repositorio, en el pipeline y en producción. La gran pregunta para las empresas no será si sus desarrolladores usan IA para programar, sino si esa IA escribe dentro de los límites que la organización puede defender.
Preguntas frecuentes
¿Qué es Salt Code?
Salt Code es una solución de Salt Security para aplicar políticas de seguridad y cumplimiento dentro de asistentes de programación con IA, pipelines de desarrollo y entornos en producción.
¿Con qué asistentes de IA funciona?
Salt Security indica soporte para Claude Code, Cursor, GitHub Copilot, Windsurf, Kiro, Codex, Gemini CLI y Antigravity, además de flujos compatibles con MCP y herramientas de desarrollo como GitHub, GitLab, Bitbucket y VS Code.
¿Qué problema intenta resolver Salt Code?
Busca evitar que el código generado por IA introduzca vulnerabilidades o incumpla políticas internas. En lugar de detectar fallos solo al final del pipeline, aplica controles desde el momento de generación del código.
¿Qué estándares incluye Salt Code?
Salt Code incorpora paquetes de políticas para OWASP API Top 10, MCP Security Top 10, LLM Security Top 10 y cumplimiento OpenAPI/Swagger, además de soporte para políticas personalizadas de cada organización.
vía: salt.security
