El código escrito con IA es rápido de producir — y lleno de agujeros de seguridad que nadie revisa. Escape, una startup francesa nacida en YC, acaba de levantar $18 millones en Serie A liderada por Balderton Capital para resolver ese problema con agentes de IA que hacen pentesting automático y continuo. El anuncio se publicó el 10 de marzo de 2026.
La tesis es directa: si la IA escribió el código y los atacantes usan IA para encontrar vulnerabilidades, tiene sentido que la defensa también sea IA. Los pentesters humanos tardan semanas y cuestan caro. Un agente puede trabajar 24/7 sin fatiga y cubrir superficies de ataque que ningún equipo humano puede revisar a escala.
Quiénes son y qué construyeron
Escape fue fundada en París por Tristan Kalos y Antoine Carossio, ambos del batch de Y Combinator 2023. La empresa nació con foco en seguridad de APIs — GraphQL y OpenAPI — y ya trabajaba con más de 1.000 organizaciones globales antes de pivotar hacia un modelo de seguridad ofensiva impulsado por agentes.
Su plataforma integra agentes de IA capaces de ejecutar pruebas de penetración de forma continua y automatizada. No buscan patrones conocidos como los scanners tradicionales — razonan sobre la lógica de la aplicación para encontrar vulnerabilidades que requieren comprensión del flujo de negocio. La diferencia importa: un scanner te dice si tienes un CVE conocido; el agente de Escape te dice si tu lógica de autorización tiene un bypass.
El problema que Escape quiere resolver: el vibe coding es un campo minado
En octubre de 2025, Escape publicó una investigación que analizó más de 5.600 aplicaciones desplegadas públicamente y construidas con plataformas de vibe coding — herramientas como Lovable, Base44 y Bolt.new. El resultado fue contundente: más de 2.000 vulnerabilidades de alto impacto identificadas en esas apps.
El problema estructural es este: las plataformas de vibe coding permiten a cualquiera crear y publicar productos en horas sin saber programar. Pero los modelos de IA que generan ese código no priorizan la seguridad por defecto. Crean APIs expuestas, manejan credenciales mal y dejan endpoints sin autenticar con frecuencia alarmante. El MVP está online antes de que alguien haya pensado en una sola vulnerabilidad.
Si estás construyendo con Lovable o Bolt.new y manejas datos de usuarios o transacciones, ese estudio debería mantenerte despierto de noche. Es el mismo problema que describimos en la deuda de verificación en programación con IA — solo que ahora aplica también a quienes ni siquiera escriben código.
El mercado: todos apuestan al mismo problema
Escape no está sola en este espacio. En los últimos meses se acumularon rondas importantes:
- Xbow (respaldada por Sequoia): startup de pentesting con IA evaluando ronda a valoración de $1.000 millones.
- Irregular: cerró Serie A de $80M a valoración de $450M, también liderada por Sequoia.
- Cogent Security: $42M en Serie A para seguridad ofensiva con IA.
- RunSybil: fundada por ex-ingenieros de OpenAI y Meta, en el mismo espacio.
El patrón es claro: los fondos grandes ven aquí una categoría en plena formación. El argumento económico tiene sentido — un agente de IA puede ejecutar pruebas continuamente, a una fracción del costo por hora de un pentester certificado, y sin los cuellos de botella de agenda que caracterizan a los equipos de seguridad tradicionales.
El financiamiento de Escape
Esta Serie A de $18M (€15,4M) liderada por Balderton Capital se suma a la ronda seed de $3,9M de junio de 2023, liderada por IRIS con participación de Frst, YC, Irregular Expressions, Tiny Supercomputers y Kima Ventures. Suranga Chandratillake, partner de Balderton, justificó la inversión así: “Escape ha resuelto el reto con la primera plataforma de seguridad ofensiva nativa de IA que combina la escalabilidad de la tecnología con el ingenio del equipo de seguridad”.
El capital irá a escalar la plataforma y expandir equipos en Europa y Estados Unidos.
Por qué importa
La explosión del vibe coding creó una generación de productos digitales construidos rápido, con poca o ninguna revisión de seguridad, por equipos que no tienen background técnico para saber qué buscar. Eso es una oportunidad enorme para herramientas como Escape — y una amenaza real para quien haya lanzado sin pensar en su superficie de ataque.
Lo interesante del modelo de Escape es que no reemplaza al equipo de seguridad — le da superpoderes. Un agente que corre 24/7 no crea empleo, pero sí detecta lo que ningún equipo humano puede revisar a esa escala y velocidad. Es el mismo patrón de Claude Code Security, que encontró 500 vulnerabilidades en código open source usando razonamiento, no solo patrones. Y si te preocupa la seguridad en tu cadena de suministro de código, vale la pena revisar también las tendencias de ciberseguridad en LATAM para 2026.
Para founders del ecosistema que están construyendo con herramientas de IA: si tu MVP ya está online y nunca hizo un pentest real, esto es una señal de que la ventana de oportunidad para resolver eso se está cerrando.
