Cloudflare construyó un clon de Next.js en una semana con IA — Vercel encontró 7 vulnerabilidades en dos días
El framework experimental vinext de Cloudflare reimplementa toda la API de Next.js sobre Vite y ofrece builds 4,4 veces más rápidas. En 48 horas, Vercel divulgó siete vulnerabilidades — dos críticas — exponiendo los límites del código de infraestructura generado por IA.
Cloudflare publicó vinext el mes pasado — un plugin de Vite de código abierto que reimplementa la API de Next.js para que los desarrolladores puedan ejecutar aplicaciones Next.js sin el compilador de Next.js. Un único ingeniero lo construyó en una semana usando Claude, gastando $1.100 en tokens de API. En una app de prueba con 33 rutas, las builds de producción terminan en 1,67 segundos frente a los 7,38 segundos con Next.js 16 y Turbopack. Una mejora de 4,4 veces que sortea completamente el bundler de Vercel.
El proyecto está disponible en GitHub bajo la organización de Cloudflare. Gestiona enrutamiento, renderizado en servidor e importaciones next/*. El objetivo es la portabilidad: ejecutar tu código Next.js en cualquier lugar, no solo en la red edge de Vercel.
La respuesta de Vercel llegó rápido. En dos días desde el lanzamiento, el equipo de seguridad de Vercel divulgó siete vulnerabilidades — dos catalogadas como críticas — incluyendo Server-Side Request Forgery (SSRF), flujos de autenticación rotos, cabeceras de seguridad ausentes y un análisis de rutas incorrecto. Hacktron, una firma de investigación de seguridad basada en IA, fue más lejos: su herramienta encontró 45 vulnerabilidades en el código, 24 de las cuales fueron validadas manualmente.
La investigación de seguridad apunta a un problema real del código de infraestructura generado por IA. La suite de tests de vinext está construida en torno a requisitos funcionales — “que se comporte como Next.js” — y lo cumple bien. Pero las vulnerabilidades de seguridad viven en el espacio negativo: interacciones complejas entre capas para las que nadie escribió un test. Un SSRF en un endpoint de renderizado servidor no se detecta comprobando que una ruta devuelva el HTML correcto.
Cloudflare ha reconocido las vulnerabilidades y está trabajando en parches. El framework está etiquetado explícitamente como experimental, y Cloudflare recomienda no usarlo en producción hasta que se resuelvan los problemas de seguridad.
El trasfondo más amplio es la tensa relación entre Cloudflare y Vercel, que viene de años atrás. Vercel vende experiencia de desarrollo sobre Next.js, framework que mantiene. Cloudflare ofrece cómputo en el edge como competidor directo. Vinext aterriza exactamente en esa intersección: permite a las empresas mantener la experiencia de desarrollo de Next.js mientras redirigen el tráfico fuera de la infraestructura de Vercel. Vercel respondió publicando una guía detallada de migración de Cloudflare a Vercel — un movimiento que parece más guerra competitiva que documentación rutinaria.
Para desarrolladores: vinext merece seguimiento, no uso en producción aún. La mejora de velocidad en builds es real. La postura de seguridad no está lista. Si quieres evaluarlo, pruébalo en un proyecto sin datos sensibles, sigue la cola de issues en GitHub y espera la versión post-parches. La arquitectura — Vite 8 con Rolldown más la API de Next.js — es genuinamente interesante y las ganancias de velocidad sugieren que Turbopack podría tener un competidor serio.
El coste de $1.100 de construcción se convertirá en caso de estudio. No porque demuestre que la IA puede reemplazar a los ingenieros, sino porque muestra que la IA puede prototipar rápido y aflorar los problemas difíciles que solo la revisión adversarial encuentra.