El desarrollador Seth Larson, mantenedor de urllib3, ha documentado en su blog que la función "Full Line Completion" de PyCharm, basada en un modelo de aprendizaje profundo local, propone líneas de código inseguras al programador. En sus pruebas, al escribir import urllib3 y comenzar a instanciar un PoolManager, la herramienta sugirió automáticamente desactivar las advertencias de seguridad con urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) y establecer cert_reqs='CERT_NONE', lo que dejaría todas las peticiones HTTPS vulnerables a ataques de tipo machine-in-the-middle.
Larson notificó el comportamiento a JetBrains a través del sistema de soporte. La compañía reconoció el informe pero no lo clasificó como "vulnerabilidad de seguridad directa", al tiempo que le pidió no publicar los detalles invocando su política de divulgación coordinada. Tras esperar los 90 días habituales sin una respuesta sustantiva del equipo de desarrollo, el investigador verificó que en la versión 261.24374.152 la herramienta sigue sugiriendo el mismo código inseguro.
El autor subraya que su intención no es señalar únicamente a JetBrains, ya que considera probable que otros modelos de generación de código presenten fallos análogos. Plantea además el dilema de si este tipo de comportamiento merece un identificador CVE y cuestiona que las empresas prioricen su solución sin un ángulo de seguridad formal.