GPT-5 introduce una vulnerabilidad conocida en una de cada cuatro tareas de codificación, según pruebas de Veracode. Copilot escribe código que pasa los tests pero no los code reviews. Y en los últimos 18 meses, dice Jack Cable, cofundador de Corridor, el porcentaje de código escrito por IA pasó de marginal a dominante. El problema que eso genera no es teórico: es el siguiente cuello de botella en seguridad del software.
Corridor acaba de levantar $25 millones en una Serie A liderada por Felicis Ventures, con Datadog como co-inversor y angels de Anthropic y OpenAI, a una valoración de $200 millones. Pero la ronda no es la noticia más importante. Lo que revela sobre el estado actual de la seguridad en software generado por IA sí lo es.
El problema que Corridor vino a resolver
El código generado por IA tiene una propiedad peligrosa: se parece al código correcto. Pasa las pruebas de sintaxis, completa los tests automatizados, y a simple vista luce bien estructurado. El problema está debajo de la superficie: inyecciones SQL que no se validaron, condiciones de carrera que solo aparecen bajo carga, secretos hardcodeados que ningún linter detecta.
Aprende IA con nosotros
Únete gratis a mi comunidad en Skool, donde compartimos noticias, tutoriales y recursos para seguir aprendiendo juntos.
👥 Únete gratis 🚀Los modelos de lenguaje entrenados en repositorios de código aprenden patrones de millones de proyectos, incluyendo todos sus malos hábitos. Cuando un desarrollador le pide a Copilot que escriba una función de autenticación, el modelo completa la tarea con el patrón más común que vio en sus datos de entrenamiento. Eso puede ser código seguro. O puede ser la misma vulnerabilidad que apareció en miles de repositorios antes de que alguien la parcheara.
La velocidad hace el problema peor. Si un desarrollador tarda dos horas en escribir un módulo, hay dos horas para que su cerebro note algo raro. Si un agente de IA lo genera en 90 segundos, el code review humano se vuelve el cuello de botella y tiende a acelerar también. La deuda de verificación se acumula exactamente en el momento en que el equipo celebra su nueva velocidad de desarrollo.
Qué hace Corridor que los SAST actuales no hacen
Las herramientas de análisis estático de código (SAST) existen desde los años 90. El problema con Corridor no es que no haya competencia: es que la competencia fue diseñada para otro mundo.
Los SAST tradicionales detectan patrones conocidos: strings de SQL concatenados, funciones de hash inseguras, uso de rand() en contextos criptográficos. Son buenos en lo que hacen. El problema es que el código generado por IA introduce vulnerabilidades lógicas que no coinciden con firmas predefinidas. Son errores correctos sintácticamente, estructuralmente razonables, e incorrectos semánticamente.
Corridor, según sus fundadores, observa el flujo de generación de código en tiempo real, no el artefacto final. El sistema monitorea tanto a los operadores de IA como a los humanos mientras codifican, emitiendo alertas cuando emergen vulnerabilidades durante la escritura del software, no después de que el pull request ya fue aprobado.
La diferencia es significativa. Un sistema que revisa código terminado opera en el mismo modelo que un code reviewer humano: mira el resultado. Un sistema que observa el proceso de generación puede intervenir antes de que el patrón vulnerable se complete.
Por qué los fundadores importan aquí
Jack Cable y Ashwin Ramaswami, de 26 años, se conocieron en Stanford. Después, Cable fue a trabajar en CISA (la agencia de ciberseguridad del gobierno estadounidense) donde lideró el proyecto “Secure By Design”, una iniciativa que convenció a Microsoft, Google y otras empresas a comprometerse a no escribir ciertos tipos de bugs explotables en productos de uso masivo. Ramaswami tomó un camino paralelo en el mismo ecosistema.
Ambos dejaron DHS a inicios de 2025, en medio de recortes y preocupaciones sobre el desmantelamiento de la agencia por la administración Trump. Y en lugar de ir a otra empresa tech, fundaron Corridor.
Ese background no es solo relaciones públicas. Cable lleva años con una tesis clara: la seguridad no puede ser una capa que se añade al final del pipeline de desarrollo. Tiene que estar embebida en el proceso. Secure By Design fue el intento de hacer eso a nivel de política pública. Corridor es el intento de hacer lo mismo a nivel de producto.
Para la Serie A sumaron a Alex Stamos como CPO. Stamos fue CISO de Facebook durante los años de las crisis más grandes de la compañía, y antes de eso CISO de Yahoo. Sabe mejor que casi nadie cómo se ve la infraestructura de seguridad cuando escala.
El contexto más amplio: IA y la crisis silenciosa del código inseguro
Corridor no aparece en el vacío. En los últimos meses el ecosistema tech ha documentado progresivamente el problema del código generado por IA que introduce vulnerabilidades. Según análisis de METR y SWE-bench, la mitad del código generado por IA que pasa los tests automatizados sería rechazado en un code review real. Anthropic encontró 22 CVEs en Firefox usando Claude en modo ofensivo, varios de gravedad alta.
La paradoja es clara: la misma IA que acelera el desarrollo también acelera la introducción de vulnerabilidades. Y los equipos de seguridad no han crecido al mismo ritmo. El resultado es que la superficie de ataque aumenta más rápido que la capacidad de monitorearla.
Un 77% de las empresas ya usa IA en alguna función de ciberseguridad, pero solo el 37% tiene políticas activas de gobernanza sobre esa IA. El gap entre adopción y gobernanza es exactamente donde viven los accidentes.
El mercado que Corridor está construyendo
Corridor no es la única startup apostando a este espacio. OpenAI adquirió Promptfoo, especializada en red-teaming de agentes. Escape levantó $18M para pentesting automatizado de APIs. Armadin recaudó $190M para seguridad autónoma ofensiva-defensiva.
Pero hay diferencias significativas en el enfoque. La mayoría de las herramientas de seguridad de IA operan en un modo defensivo reactivo: buscan problemas en sistemas ya desplegados. Corridor apunta a la fase de creación, cuando el código todavía está siendo generado.
El modelo comercial tiene sentido para empresas SaaS y fintech que ya integraron flujos de vibe coding o agentes de codificación en su pipeline de desarrollo. Para esos equipos, el pain point es claro: la velocidad de generación no puede traducirse en pasivos de seguridad.
La pregunta estratégica es si este tipo de herramienta termina siendo un producto independiente o una feature que absorbe alguno de los jugadores grandes: GitHub Copilot, Cursor, Anthropic en Claude Code. La respuesta probablemente es: ambas cosas, para segmentos distintos del mercado.
Por qué importa ahora
Cable lo dice directo: “Nuestro objetivo es garantizar que, a medida que la IA siga impulsando avances exponenciales en el desarrollo de software, la seguridad no siga siendo un obstáculo.” El “no siga siendo un obstáculo” tiene dos lecturas. La optimista: la seguridad se vuelve tan automatizable como el testing. La pesimista: si no lo logramos, la seguridad se convierte en el freno que desacelera toda la promesa del vibe coding.
Corridor apuesta a la primera lectura. $25 millones y una cohorte de inversores con credenciales de seguridad sólidas sugieren que el mercado también. Si la tesis es correcta, herramientas como ésta se vuelven infraestructura obligatoria para cualquier equipo que use IA para escribir código en producción. Que hoy es casi todos.
