Hay algo incómodo en todo esto que mucha gente prefiere no mirar de frente.

Nos encanta pensar que el software —y ahora la IA— es una especie de catedral construida con bloques sólidos, donde cada pieza encaja perfectamente.

Pero la realidad se parece más a un castillo de naipes.

Y el caso de litellm no es una excepción. Es un recordatorio.

Internet, el open source y ahora la IA han crecido sobre una idea muy poderosa:

La buena voluntad de otros.

Alguien escribe una librería.

Otro la mejora.

Otro la empaqueta.

Y tú haces un pip install… y listo.

Magia.

Esto ha sido —literalmente— el motor de todo:

• Linux

• Python

• npm

• Hugging Face

• PyTorch

Sin esto, no habría ecosistema. No habría velocidad. No habría innovación.

Pero hay una cara B.

El caso de litellm es especialmente interesante porque no lo instalas tú directamente.

Te llega.

Por debajo.

Como dependencia de otra cosa.

Como en el ejemplo de dspy.

Y ahí está el verdadero riesgo: no sabes realmente qué estás ejecutando.

Hoy un proyecto medio puede tener:

• cientos de dependencias

• miles de dependencias transitivas

Cada una mantenida por alguien distinto.

Cada una con su nivel de rigor… o de abandono.

Esto no es nuevo (y eso es lo más preocupante)

Lo que estamos viendo ya ha pasado.

Varias veces.

1. event-stream(2018)

Un paquete aparentemente inocuo en npm.

• Millones de descargas.

• Un mantenedor lo cede a otra persona.

• Se introduce código malicioso dirigido a robar criptomonedas.

Nadie se da cuenta durante semanas.

2. ua-parser-js

Una librería ampliamente usada.

• Se publica una versión comprometida.

• Instala malware para robar credenciales.

Impacto masivo.

Respuesta: retirar versiones y rotar credenciales.

3. log4j

Aquí no hubo malware… pero casi peor.

• Una vulnerabilidad crítica en una librería omnipresente.

• Permitía ejecución remota de código.

• Afectó a medio internet.

Parchear esto llevó meses.

4. colors.js

Ni siquiera un ataque externo.

• El propio autor rompe su librería en protesta.

• Miles de proyectos fallan.

La fragilidad no siempre viene de fuera.

¿Qué cambia ahora con la IA?

Que el problema se amplifica.

Porque:

1. Más dependencias que nunca

   • SDKs de modelos

   • wrappers

   • plugins

   • agentes

   • MCPs

2. Más automatización

   • pipelines que instalan cosas sin supervisión

   • agentes que ejecutan código

   • copilots que sugieren dependencias

3. Más superficie de ataque

   • credenciales cloud

   • tokens de APIs

   • acceso a clusters

   • datos sensibles

El caso de litellm lo deja claro:

ya no es “te rompo el build” es “te robo las credenciales y hago lo que quiero con toda la infraestructura”

El trade-off que nadie quiere aceptar

El open source nos ha dado:

• velocidad

• innovación

• democratización

Pero a cambio hemos aceptado:

• dependencia ciega

• confianza implícita

• seguridad probabilística

No es gratis.

Nunca lo ha sido.

La paradoja de Karpathy

La idea de “yoinkear” funcionalidad con LLMs en lugar de depender de librerías es provocadora… pero tiene lógica.

Menos dependencias → menos superficie de ataque.

Pero tampoco es la panacea:

• introduces código no probado

• reduces estandarización

• aumentas deuda técnica

Es cambiar un riesgo por otro.

Entonces, ¿qué hacemos?

No hay una solución perfecta para todos los problemas.

Pero sí hay una actitud más realista:

• Desconfiar por defecto

• Auditar dependencias críticas

• Reducir el número de dependencias

• Usar entornos aislados

• Rotar credenciales automáticamente

• Asumir compromiso como escenario base

Y sobre todo:

dejar de pensar que el software es determinista y empezar a tratarlo como un sistema vivo, imperfecto y vulnerable

Food for thought

Internet y la IA funcionan porque confiamos.

Pero cada vez que haces un:

pip install algo

Estás tomando una decisión de seguridad.

Aunque no lo parezca.

Y el problema no es que eso sea peligroso.

El problema es que durante años nos han hecho creer que no lo era.

🌍 El eco del mercado

🤖 La IA ya es la partida presupuestaria dominante. Las empresas están duplicando su inversión en IA mientras OpenAI, Anthropic y herramientas AI-native capturan el gasto que antes iba a SaaS tradicional. Más que una moda, esto apunta a un cambio estructural: el software deja de vender licencias y empieza a vender “capacidad cognitiva”.

🧩 Mistral y Cohere empujan el open source hacia el edge. Nuevos modelos de voz y speech open source capaces de correr en dispositivos pequeños reducen la dependencia del cloud. Señal débil de algo grande: la batalla ya no es solo por el mejor modelo, sino por dónde se ejecuta.

🧠 ByteDance mete IA generativa de vídeo directamente en la creación. CapCut integra modelos avanzados de generación de vídeo con controles de seguridad sobre identidad e IP. Esto apunta a una capa creativa automatizada: la IA no solo genera contenido, define quién puede generarlo y cómo.

🧱 GitHub confirma lo inevitable: tu código es entrenamiento. Microsoft usará datos de usuarios para entrenar sus modelos, con opción de opt-out. La frontera entre producto y dataset desaparece. Usar software ya no es gratis: estás pagando con datos.

🧩 Intercom desafía el dominio de los modelos generalistas. Lanza un modelo específico para customer service que supera a modelos frontier en tareas concretas. Más que AGI, esto va de especialización: modelos pequeños, pero optimizados para negocio real.

⚔️ China entra en fase de desacople científico en IA. Investigadores chinos son llamados a boicotear conferencias tras restricciones de EE.UU. La IA ya no es solo competencia tecnológica: es infraestructura geopolítica.

⚖️ La justicia empieza a rediseñar internet. Meta y YouTube son declaradas responsables por adicción en un caso histórico. Más que multas, esto abre una grieta: el diseño de producto puede ser ilegal.

📜 Europa frena la regulación de IA… pero endurece el control. Se retrasa parte del AI Act mientras se prohíben apps de desnudos generados por IA. Tensión clara: regular sin frenar innovación sigue sin resolverse.

📱 Herramientas de hackeo industrial se democratizan. Un exploit avanzado para iPhone se filtra online, poniendo a millones en riesgo. La ciberseguridad entra en fase industrial: ya no son hackers, son cadenas de suministro.

📊 Google reduce memoria… pero no el problema. Un avance como TurboQuant reduce el uso de memoria en modelos, pero podría aumentar la demanda total al expandir aplicaciones. Paradoja clásica: eficiencia → más uso → más consumo.

🚕 Europa entra en la carrera del robotaxi. Uber se alía con Pony.ai y startups europeas para lanzar el primer servicio comercial en el continente. Más que movilidad, esto va de plataforma: quien controle la red, controla el mercado.

⚡ El consumo energético de la IA entra en la agenda política. Senadores de EE.UU. exigen transparencia sobre el consumo eléctrico de los data centers. El verdadero cuello de botella ya no es el modelo: es la energía.

Déjame recordarte que si te gusta la tecnología, el podcast de Código Abierto también puede ser una buena opción.

Si algo de lo que has leído te ha removido, dímelo.

Ya sabes que estoy al otro lado si quieres comentar, discrepar o simplemente saludar.

Que nunca te falten ideas, ni ganas de probarlas.

A.

PD: Si este tema te ha hecho pensar, hay algo que se repite en todos los sistemas complejos: no fallan por una gran decisión… sino por pequeñas dependencias que nadie cuestionó a tiempo.

Estos libros ayudan a verlo con otros ojos:

• El Proyecto Unicornio: caos, cuellos de botella y por qué todo parece ir bien… hasta que deja de hacerlo.

• The Mythical Man-Month: añadir más gente no arregla un sistema roto.

• Meltdown: cómo la complejidad convierte pequeños fallos en desastres.

• Kill It with Fire: legacy, deuda técnica y castillos de naipes en producción.

• Systemantics: los sistemas complejos que funcionan… casi siempre vienen de algo simple que funcionaba antes.

Porque al final, no es solo un problema de tecnología.

Es un problema de cómo construimos sobre lo que otros ya han construido.