Cyber.md: documentación de seguridad pensada para agentes de IA
Baz propone un estándar de archivo estructurado para que los agentes de IA puedan leer y actuar sobre la postura de seguridad de una organización sin intervención humana.
La semana pasada apareció en Hacker News una propuesta discreta pero con bastante sustancia detrás: Cyber.md, un formato de archivo de postura de seguridad diseñado específicamente para que los agentes de IA lo consuman de forma directa. No es un estándar oficial de ningún organismo, sino una iniciativa de Baz, una empresa centrada en seguridad, pero el razonamiento que la sostiene merece atención.
La idea parte de un problema concreto: la documentación de seguridad corporativa —políticas, controles, inventario de activos, marcos de cumplimiento— existe en formatos pensados para que los lean personas. PDFs, wikis internas, hojas de cálculo. Cuando un agente de IA necesita razonar sobre la postura de seguridad de una organización, o cuando Claude Code lanza un subagente encargado de revisar configuraciones de infraestructura, ese agente tiene que extraer contexto de fuentes dispersas y mal estructuradas. Cyber.md propone centralizar esa información en un único archivo Markdown con una estructura semántica predecible.
Qué es exactamente Cyber.md
Según la descripción de Baz, Cyber.md es un archivo que vive en la raíz de un repositorio o en una ubicación conocida del sistema, similar en concepto a cómo `SECURITY.md` o `CODEOWNERS` funcionan en ecosistemas de desarrollo. Su contenido se organiza en secciones estandarizadas: alcance de activos, controles aplicados, marcos de cumplimiento relevantes (ISO 27001, SOC 2, etc.), propietarios de seguridad y procedimientos de respuesta a incidentes.
Lo que lo diferencia de un `SECURITY.md` convencional es que está diseñado con la legibilidad por agente como requisito de primer nivel, no como añadido posterior. Las secciones tienen cabeceras normalizadas, los valores clave usan formatos parseables, y se espera que herramientas como MCP servers o skills de Claude puedan ingerir el archivo y responder preguntas sobre él sin necesidad de embeddings complejos ni pipelines de RAG ad hoc.
Por qué importa en el contexto actual de Claude Code
Este tipo de propuesta cobra sentido en un ecosistema donde Claude Code ya permite encadenar subagentes especializados y conectar MCP servers a fuentes de datos externas. Si un equipo de ingeniería configura un subagente de auditoría de seguridad, ese agente necesita saber qué controles están en vigor, qué activos son críticos y quién es el responsable de cada área. Sin un formato estándar, ese contexto hay que inyectarlo manualmente en cada sesión o construir un pipeline de recuperación específico para cada cliente.
Con un archivo como Cyber.md en su lugar, el subagente puede leerlo directamente mediante una herramienta de lectura de ficheros o un MCP server de sistema de archivos, y operar sobre esa información de forma estructurada desde el primer momento. Es el mismo principio que llevó a adoptar `robots.txt` o `humans.txt` en la web: convenciones simples que crean interoperabilidad sin necesidad de negociación caso a caso.
Además, con ventanas de contexto como la de Claude Opus 4.7 (hasta 1 millón de tokens), incluir un archivo de este tipo directamente en el contexto de una sesión larga ya no es un problema de espacio. El cuello de botella está en tener la información bien estructurada, no en el tamaño.
Para quién es útil ahora mismo
En su estado actual, Cyber.md parece más útil para equipos de seguridad que ya están integrando agentes en sus flujos de trabajo y que se enfrentan al problema de cómo darles contexto organizativo de forma reproducible. También para equipos de plataforma que construyen skills o plugins de Claude Code orientados a cumplimiento y auditoría.
Para el resto, el valor dependerá de si la propuesta gana tracción suficiente como para convertirse en una convención adoptada ampliamente. Con un solo punto en Hacker News y cero comentarios en el momento de su publicación, todavía está muy lejos de ser un estándar de facto. Pero la dirección es correcta: a medida que los agentes asumen más tareas operativas, la ausencia de formatos de contexto estandarizados se convertirá en un problema real, no hipotético.
Desde ElephantPink seguiremos la evolución de iniciativas como esta, porque la interoperabilidad entre agentes y documentación organizativa es exactamente el tipo de problema de fontanería que suele resolverse tarde y mal si no se aborda con antelación.
Fuentes
Seguir leyendo
Siftly quiere entrenar el criterio humano en revisión de código con IA
Siftly propone un enfoque distinto: en lugar de dejar que la IA revise tu código, úsala para afinar tu propio juicio como revisor. Una idea que merece discutirse.
Agent Harness Engineering: estructurar agentes para que no se rompan
Addy Osmani pone nombre a una disciplina que muchos equipos ya practican sin saberlo: diseñar el andamiaje que mantiene a los agentes IA dentro de los raíles.
Design.md Generator: un skill para codificar el gusto en diseño
Una extensión de Chrome genera archivos design.md con criterios de diseño listos para ser consumidos por Claude y otros LLMs. ¿Sirve para algo o es ruido extra en el contexto?