Los agentes de IA están cruzando un umbral: ya no se limitan a probar o copilotar una sola herramienta; Están cada vez más integrados en el trabajo diario de ingeniería, desde escribir y revisar código hasta ayudar a gestionar incidentes, implementar cambios, crear documentación y automatizar guías operativas.
A medida que se acelera la adopción, está surgiendo un proceso como la forma más rápida de definir el comportamiento de un agente de una forma repetible y compartible: la experiencia del agente.
Líder de defensa de desarrolladores en JFrog.
En muchos equipos, las habilidades son paquetes pequeños y portátiles; a menudo, solo archivos que combinan indicaciones, guiones y una orquestación ligera.
Son fáciles de copiar, adaptar y conectar a diferentes flujos de trabajo, que es exactamente la razón por la que se están extendiendo tan rápidamente. Pero esa misma distribución sin fricciones hace que la eficiencia sea una cuestión de seguridad y gobernanza empresarial.
Una vez que una habilidad puede llamar herramientas, ejecutar automatización e interactuar con el entorno sensorial, deja de ser “solo instrucciones”. Se convierte en una dependencia funcional, que puede afectar los sistemas y los datos en tiempo real.
Las empresas han visto este patrón antes con paquetes de código abierto: reutilización rápida, propiedad poco clara, riesgos transitivos ocultos e incidentes de seguridad que nadie se dio cuenta que estaban sucediendo.
Las habilidades de los agentes van por el mismo camino, con una diferencia importante: no sólo se entregan con su software; Pueden gestionarlo activamente.
Cómo las habilidades reutilizables a partir del conocimiento organizacional
En el mejor de los casos, las habilidades resuelven un problema empresarial real: ayudan a las organizaciones a codificar conocimientos repetibles sobre “cómo hacemos las cosas”.
En lugar de depender de la memoria institucional dispersa en los hilos, runbooks y conocimientos tribales de Slack, los equipos pueden agrupar las mejores prácticas en unidades reutilizables: un flujo de trabajo de implementación, una guía de estilo de compromiso, un flujo estandarizado de respuesta a incidentes, una lista de verificación de cumplimiento que se corresponda con sus controles internos o un método de manejo de datos para el control.
La eficiencia ayuda a los agentes a trabajar de manera eficiente. A diferencia de las indicaciones a nivel de chat que deben repetirse (y desperdiciar tokens), las habilidades se pueden cargar a pedido y usarse con divulgación progresiva: manteniendo al agente rápido y al mismo tiempo permitiéndole obtener contexto profundo, archivos de referencia o código empaquetado solo cuando sea necesario.
Por eso la adopción se está acelerando. Las empresas están extrayendo experiencia de repositorios públicos, adaptándola a sus flujos de trabajo internos y creando experiencia propia interna. En la práctica, la experiencia se está convirtiendo en el “paquete” comunitario de un ecosistema de agentes emergente.
Problemas de gobernanza: confianza, surgimiento y privilegio
El desafío es simple: la eficiencia puede ser poderosa y el poder aumenta el riesgo sin gobernanza.
Una habilidad puede ejecutarse con los mismos privilegios que el usuario o proceso que la invoca. Esto podría significar acceso al código fuente, registros de producción, secretos, datos de clientes o sistemas de implementación. Incluso cuando una habilidad no se ve comprometida intencionalmente, puede violar la política, crear exposiciones de cumplimiento o causar impactos operativos no deseados.
A medida que aumenta la eficiencia, las organizaciones están comenzando a hacer las mismas preguntas que hacen sobre las dependencias de código abierto, pero muchas todavía no tienen las herramientas o los procesos para responderlas:
● ¿Quién es el autor de esta habilidad? ¿Es confiable esa identidad?
● ¿Qué versión es y está actualizada?
● ¿Ha sido revisado, escaneado o aprobado?
● ¿Contiene instrucciones inseguras o comportamientos ocultos (incluida la manipulación a nivel de aviso)?
● ¿Solicita permisos adicionales para lo que dice hacer?
● ¿Dónde está la única fuente de verdad que nos dice qué habilidades se utilizan en todos los equipos?
Sin respuestas claras, las habilidades se convierten en una nueva clase de dependencias no administradas, creando una “IA en la sombra” dentro de las organizaciones de ingeniería: un comportamiento de los agentes que afecta los sistemas y los datos, pero que queda fuera de la gobernanza y la supervisión de la seguridad normales.
Por qué es importante la distribución: la fragmentación crea brechas de gobernanza
En este momento, la distribución de habilidades está fragmentada.
Extraer habilidades directamente de GitHub puede funcionar para las pruebas, pero es difícil controlar ese flujo a escala. Otras plataformas pueden ofrecer ventajas, pero los requisitos empresariales rápidamente se vuelven evidentes: control estricto de versiones, propiedad clara, auditabilidad y aplicación consistente de políticas.
Algunos agentes codificadores también ofrecen mercados privados de experiencia ambiental. Pero estos enfoques suelen tener una limitación estratégica: vinculan estrechamente la gestión de competencias al entorno de desarrollo de un único proveedor.
Esto puede crear un desafío de gobernanza a largo plazo: un jardín amurallado donde el cambio de herramientas obliga a los equipos a reconstruir sus sistemas de registro de experiencia, restablecer autorizaciones y reconstruir controles.
Para los equipos que trabajan a escala, la gestión del talento vinculada a los proveedores lo hace aún más difícil:
● Implementar la fijación de versiones entre proyectos (el proyecto A usa v1, el proyecto B usa v2),
● Compartir experiencia autorizada en diversas herramientas de agentes y contextos de automatización.
● Mantener una gobernanza coherente en toda la cadena de herramientas de entrega de software más amplia.
¿Cómo debería ser la “gobernanza de la eficiencia a nivel empresarial”?
Si la experiencia se está convirtiendo en una dependencia del software, las empresas deben tratarla como un activo de software.
Esto significa poner entidades que ya son aplicables en código y paquetes bajo la misma disciplina:
● Fuente única de información sobre la experiencia utilizada en toda la organización
● Metadatos y control de versiones sólidos para que los equipos puedan buscar, reutilizar y actualizar de forma segura
● Análisis de seguridad para detectar código malicioso, dependencias comprometidas, comportamiento inseguro y manipulación a nivel de instrucción.
● Controles de procedencia e integridad (p. ej., firmas y certificaciones criptográficas) para que las partes puedan verificar que lo que están instalando ha sido revisado.
● Costos de confianza cero donde se puede verificar la integridad y la política de instalación/uso en lugar de asumir que todo está seguro.
● Auditabilidad y propiedad para que las organizaciones puedan responder “¿Quién autorizó esto?” y “¿Dónde se usa?” rápidamente
El objetivo no es frenar a los equipos. El objetivo es mantener la experiencia de desarrollador de baja fricción que hizo populares las habilidades, al mismo tiempo que se agregan controles que las hagan seguras para escalar.
La autonomía requiere control
Los flujos de trabajo impulsados por agentes se ubicarán cada vez más en rutas críticas: entrega de software, respuesta de seguridad, procesos de cumplimiento y automatización operativa. La eficiencia desbloquea un apalancamiento real, pero la eficiencia no administrada crea una nueva superficie de ataque y una nueva brecha de gobernanza.
Las empresas no necesitan abandonar la eficiencia. Necesitan profesionalizarlas: tratar las habilidades como activos gobernados de primera clase con visibilidad, control de versiones y supervisión de seguridad.
Porque a medida que los agentes se vuelven más autónomos, la pregunta no será si su organización utiliza las habilidades, sino si puede demostrar que las habilidades que sus agentes están desarrollando son confiables.
Hemos enumerado los mejores cursos de ciberseguridad en línea..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
