Saltar al contenido principal
50% de descuento todos los planes, tiempo limitado. Desde $2.48/mo
8 min left
IA y machine learning

Los vibe coders están reconstruyendo la capa de reglas que la ingeniería dejó atrás

S By Steve 8 min read
A CLAUDE.md file open in a dark-mode code editor showing AI coding quality rules alongside a passing test suite, illustrating how vibe coders encode engineering discipline as agent instructions

Más de 178.000 usuarios de GitHub dieron una estrella a un solo archivo markdown. El archivo se limita a decirle a una IA cómo comportarse.

Cuatro reglas: Piensa antes de programar. Primero la simplicidad. Cambios quirúrgicos. Ejecución orientada a objetivos. Eso es todo. Sin biblioteca. Sin framework. Sin instalador. Forrest Chang empaquetó las observaciones de Andrej Karpathy sobre los modos de fallo de programación de los LLM en un solo archivo CLAUDE.md, y la comunidad de desarrolladores lo llevó más allá de las 178.000 estrellas en GitHub en los meses siguientes.

Si entrecierras los ojos ante lo que pasó ahí, se parece mucho a lo que toda organización de ingeniería terminó descubriendo que necesitaba, con el tiempo, tras suficiente dolor: un conjunto compartido de restricciones sobre cómo se escribe el código. Una capa de reglas. El tipo de cosa que solía vivir en una lista de comprobación de revisión de código, o en una guía de estilo, o en la memoria institucional de un ingeniero sénior. La comunidad del vibe coding encontró una versión mucho más ligera de esa misma disciplina: anota las reglas en markdown y deja que el agente las lea antes de escribir código.

Esto no es algo aislado. Es un patrón.

Resumen rápido

  • El ecosistema de instrucciones para agentes (CLAUDE.md, AGENTS.md, bibliotecas compartidas de skills y agentes de accesibilidad) se está convirtiendo en una capa distribuida de aplicación de la calidad para la programación asistida por IA.
  • La brecha de calidad a la que responde es real: Snyk escaneó 3.984 skills de ClawHub y skills.sh y encontró que 1.467, o el 36,82 %, tenían al menos un fallo de seguridad; 534, o el 13,4 %, tenían al menos un problema de nivel crítico.
  • La respuesta de la comunidad ha sido crear más reglas, no abandonar el enfoque, y ahora están implicadas instituciones desde Vercel hasta OWASP y la Linux Foundation.

La brecha de calidad es real, y la comunidad lo sabe

Bar chart contrasting the share of community AI agent skills with security flaws (36.82%) and critical-level flaws (13.4%) from Snyk's ToxicSkills scan of 3,984 skills

El 13,4 % de los archivos de skills de la comunidad contienen fallos de seguridad críticos. Eso viene del informe ToxicSkills de Snyk, publicado en febrero de 2026 tras escanear 3.984 skills de ClawHub y skills.sh. El 36,82 % tenía al menos una vulnerabilidad de seguridad. 76 eran directamente maliciosas, y el 91 % de esas usaban la inyección de prompts como mecanismo de entrega.

El panorama más amplio de la calidad del código de IA es similar. Según el análisis de datos de revisión de código de CodeRabbit, el código asistido por IA promedia 10,83 problemas por pull request frente a 6,45 del código escrito por humanos, aproximadamente 1,7 veces más problemas. El estudio anual de código de GitClear informó de lo que denomina un «crecimiento de 4x» en la clonación de código: un aumento del 8,3 % al 12,3 % de las líneas modificadas entre 2021 y 2024.

Son cifras de proveedores, así que tómate la precisión con el escepticismo apropiado. Aun así, son útiles a nivel direccional: la programación asistida por IA está creando suficiente presión sobre la calidad como para que los desarrolladores estén construyendo nuevas salvaguardas en torno a ella.

Lo que importa es lo que la comunidad hizo con esta información. La respuesta no fue «los archivos de skills son peligrosos, dejad de usarlos». Fue: OWASP lanzó el Agentic Skills Top 10 (AST10), el equivalente para el ecosistema de skills del Web Application Security Top 10. Más reglas. Más estructura. Un marco formal de seguridad para un ecosistema informal.

Esa es una respuesta clásica de ingeniería, incluso desde una comunidad que a menudo intenta evitar los procesos pesados.

El ecosistema que apareció

Layered diagram of the AI coding rules ecosystem: a behavioral layer (CLAUDE.md), a community aggregation layer (Awesome Skills), a framework layer (Vercel agent-skills), and a standards layer (AGENTS.md)

A lo largo de la primera mitad de 2026, esto empezó a parecer menos un puñado de archivos markdown aislados y más un ecosistema por capas.

Empieza por la capa de comportamiento. El CLAUDE.md inspirado en Karpathy empaqueta la versión de Forrest Chang de las observaciones de Andrej Karpathy sobre los fallos de programación de los LLM en un solo archivo de instrucciones, y ahora se sitúa en más de 178.000 estrellas en GitHub, uno de los repositorios con más estrellas de la historia de GitHub, para un archivo construido en torno a cuatro reglas simples. Lo que son esas reglas es menos interesante que lo que representan: un intento de codificar el criterio que un ingeniero sénior aplicaría durante la revisión de código.

Por encima de eso se sitúa una capa de agregación comunitaria. Antigravity Awesome Skills ha superado los 1.595+ skills agénticos, recopilando manuales reutilizables para Claude Code, Cursor, Codex CLI, Gemini CLI, Antigravity y otros asistentes de programación con IA. Funciona como una biblioteca compartida de rápido movimiento para el espacio: el tipo de cosa que un comité de estandarización podría producir si avanzara a través de GitHub en lugar de PDFs.

Luego aparecieron los frameworks. Vercel convirtió vercel-labs/agent-skills en un repositorio oficial de la organización, ahora con 28.000 estrellas. Solo la skill de React Best Practices contiene más de 40 reglas en ocho categorías centradas en el rendimiento, incluidas las cascadas, el tamaño del bundle, el rendimiento del lado del servidor, la obtención de datos del lado del cliente, la optimización de re-renderizados, el rendimiento de renderizado y las microoptimizaciones de JavaScript. Cuando la empresa que es dueña de tu plataforma de despliegue publica reglas de calidad oficiales para agentes de IA, el ecosistema ha pasado de experimento comunitario a infraestructura de producción.

Y en lo más alto, una capa de estándares. OpenAI donó la especificación AGENTS.md a la Agentic AI Foundation (AAIF) de la Linux Foundation, junto con MCP (Anthropic) y Goose (Block): multiherramienta, multiagente, en vía de estandarización. La dirección apunta hacia la portabilidad: AGENTS.md ofrece a los equipos un lugar compartido para la guía de agentes específica del proyecto, aunque cada herramienta todavía pueda diferir en cómo carga y aplica esas instrucciones.

Estas piezas no aparecieron como una sola pila planificada de forma centralizada. Convergieron porque la demanda era real.

La dimensión de la que nadie habla

An accessibility agent flagging a modal that traps screen readers and missing ARIA roles in AI-generated UI code, with WCAG 2.2 AA checks listed alongside

Los datos de seguridad y de calidad del código tienen cobertura. La dimensión de la accesibilidad casi nunca la tiene.

Community-Access/accessibility-agents empezó el 21 de febrero de 2026 con seis agentes. A fecha de junio de 2026: 79 agentes especializados repartidos en ocho equipos, 18 skills de accesibilidad reutilizables, objetivo WCAG 2.2 AA y soporte en cinco plataformas: Claude Code, GitHub Copilot, Gemini CLI, Codex CLI y un servidor MCP que puede dar servicio a clientes compatibles con MCP.

Lo que es este proyecto, en términos llanos: una comunidad de desarrolladores decidió que las herramientas de programación con IA generan código inaccesible por defecto (se saltan las reglas de ARIA, ignoran la navegación por teclado, producen modales que atrapan a los lectores de pantalla) y construyó 79 agentes especializados para hacer cumplir las reglas que la IA no para de olvidar.

Eso es algo notable. Los ingenieros de frontend históricamente han cumplido por debajo de lo esperado en accesibilidad. Es lo primero que se recorta bajo la presión de los plazos. El proyecto accessibility-agents son vibe coders escribiendo las reglas que de otro modo necesitarían que un ingeniero sénior hiciera cumplir, y haciéndolo en público, gratis, en cinco integraciones soportadas.

En mi lectura, el proyecto es inusualmente minucioso para un esfuerzo voluntario de accesibilidad, sobre todo porque convierte la accesibilidad de una preocupación tardía de QA en instrucciones de agente reutilizables que se ejecutan durante la generación del código.

Por qué esto era inevitable

El argumento de que «los archivos de skills no son más que READMEs para la IA» es justo si miras un solo archivo. Deja de sostenerse cuando observas a OWASP lanzando un marco de seguridad para el ecosistema, a Vercel publicando una biblioteca de calidad oficial, o a un proyecto voluntario de accesibilidad creciendo hasta 79 agentes especializados.

Esto es lo que está pasando en realidad: la aplicación de la calidad no desaparece cuando eliminas el proceso. Reaparece de otra forma, porque la ausencia de calidad produce dolor rápido, y la persona más cercana a ese dolor lo arregla en el origen.

La disciplina tradicional de la ingeniería (revisión de código, guías de estilo, barreras de QA, gobernanza arquitectónica) existe para detectar lo que cada desarrollador se salta bajo la presión del tiempo. Funciona cuando tienes un equipo y un proceso. Los vibe coders, por diseño, a menudo no tienen ninguno de los dos. Así que precodificaron la revisión en las instrucciones del agente.

CLAUDE.md es una revisión de código precodificada. Awesome Skills es una guía de estilo distribuida. AGENTS.md es un estándar de gobernanza. Las palabras cambiaron. La función no.

Lo interesante no es que las restricciones reaparecieran, eso era inevitable. Lo interesante es que reaparecieron más rápido que la primera vez, y de forma más pública, y con un nivel de calidad que avergüenza a algunas organizaciones de ingeniería con procesos maduros.

La comunidad del vibe coding no reinventó la disciplina de la ingeniería a regañadientes, bajo la presión de la dirección. La construyó porque se topó con un muro y las herramientas para arreglarlo estaban a un archivo markdown de distancia.

Preguntas frecuentes

¿Qué va dentro de un archivo CLAUDE.md?

Restricciones de comportamiento para la IA: qué evitar, qué priorizar, reglas arquitectónicas, banderas rojas de seguridad y convenciones específicas del proyecto. El uso centrado en la calidad va más allá de los atajos de flujo de trabajo: reglas como «nunca elimines el manejo de errores para que pasen las pruebas» conviven con «usa siempre TypeScript». Para ejemplos reales y probados, empieza por la agregación comunitaria de Awesome Skills. agent-skills de Vercel es otra referencia sólida.

¿Qué es AGENTS.md y en qué se diferencia de CLAUDE.md?

AGENTS.md es un estándar universal para la guía de agentes específica del proyecto, lanzado por OpenAI y donado a la Agentic AI Foundation de la Linux Foundation en diciembre de 2025. CLAUDE.md es el archivo de guía de proyecto de Claude Code. Se solapan en su propósito, pero no son formatos idénticos en todas las herramientas. La conclusión práctica es que los equipos pueden cada vez más escribir las instrucciones de agente una vez y adaptarlas a herramientas como Codex, Cursor, Copilot, Gemini CLI y Claude Code.

¿Es seguro usar los archivos de skills?

Los skills de origen comunitario deberían leerse antes de importarlos. informe ToxicSkills de Snyk encontró que el 36 % de los skills comunitarios escaneados tenían al menos un fallo de seguridad, y el 13,4 % tenían fallos de nivel crítico, con la inyección de prompts como principal mecanismo de ataque. El OWASP Agentic Skills Top 10 es el marco de referencia para entender la superficie de ataque. Los archivos de skills de repositorios oficiales o de proyectos de código abierto consolidados generalmente conllevan un riesgo de cadena de suministro menor que las contribuciones anónimas de la comunidad, pero aun así deberían revisarse antes de importarlos.

¿Qué es el OWASP Agentic Skills Top 10 (AST10)?

El marco de seguridad de OWASP de 2026 para el ecosistema de skills, análogo al OWASP Web Application Security Top 10 pero que aborda específicamente la superficie de ataque creada por los archivos de instrucciones de agentes de IA. Cubre los diez riesgos de seguridad más críticos en plataformas como Claude Code, Cursor/Codex y VS Code. El marco está en desarrollo activo a fecha de 2026, con un lanzamiento de la v1.0 previsto para el Q4 de 2026.

¿Necesito archivos de skills si estoy construyendo un proyecto personal?

Solo si quieres un comportamiento coherente de la IA. Sin restricciones, las herramientas de programación con IA optimizan para completar la tarea, no para la calidad del código, lo cual funciona bien hasta que produce lógica duplicada, manejo de errores ausente o componentes de UI inaccesibles. La sobrecarga es baja: un archivo por proyecto, mantenido a medida que descubres lo que la IA no para de equivocar. Las reglas inspiradas en Karpathy son un punto de partida razonable; las bibliotecas de skills de la comunidad te permiten incorporar reglas específicas de un dominio (seguridad, accesibilidad, modismos del lenguaje) sin escribirlas desde cero.

Share

Más del blog

Sigue leyendo.

¿Listo para desplegar? Desde $2,48/mes.

Cloud independiente desde 2008. AMD EPYC, NVMe, 40 Gbps. Reembolso en 14 días.

Desplegar un VPS Ver todos los planes