In un sondaggio di Checkmarx rivolto a responsabili della sicurezza e dello sviluppo, un terzo degli intervistati ha dichiarato che nel 2024 oltre il 60% del codice della loro azienda sarà generato dall’AI. Ma solo il 18% ha affermato che la società per cui lavora dispone di strumenti approvati per il vibe coding.
Questione di trasparenza
I progetti open source possono essere intrinsecamente insicuri, obsoleti o vulnerabili agli attacchi. Ma rischiano anche di essere incorporati nel codebase senza l’opportuna trasparenza o la documentazione adeguata. I ricercatori sottolineano che alcuni dei fondamentali meccanismi di controllo e responsabilità che sono sempre esistiti nell’open source sono mancanti o gravemente frammentati quando lo sviluppo è guidato dall’AI.
“Il codice creato dall’intelligenza artificiale non è molto trasparente“, afferma Dan Fernandez, responsabile dei prodotti AI di Edera. “Nei repository come Github almeno si possono vedere cose come le richieste di pull e i messaggi di commit che permettono di capire chi ha fatto cosa al codice, e c’è un modo per risalire a chi ha contribuito. Ma con il codice AI non c’è la stessa responsabilità […] E le righe di codice provenienti da un umano potrebbero essere parte del problema“.
Per quanto il vibe coding possa sembrare un metodo a basso costo per creare applicazioni e strumenti essenziali altrimenti inaccessibili a gruppi con poche risorse – come le piccole imprese o le popolazioni vulnerabili – Zenla sottolinea che questa facilità d’uso comporta il pericolo di creare una falla di sicurezza nelle situazioni più sensibili e a rischio. “Si parla molto di utilizzare l’intelligenza artificiale per aiutare le popolazioni vulnerabili, perché richiede meno sforzi per arrivare a qualcosa di utilizzabile“, spiega il direttore tecnico di Edera. “Penso che questi strumenti possano aiutare le persone con meno mezzi, ma credo anche che le implicazioni sulla sicurezza del vibe coding avranno un impatto sproporzionato proprio sulle persone che meno possono permetterselo“.
Anche nelle aziende, che si sobbarcano in gran parte il rischio finanziario d’impresa, le ricadute personali di una vulnerabilità diffusa introdotta come conseguenza del vibe coding rischiano di avere un impatto pesante.
“Il fatto è che il materiale generato dall’intelligenza artificiale sta già iniziando a vedersi nei codebase“, afferma Jake Williams, ex hacker della National security agency degli Stati Uniti e attuale vicepresidente della ricerca e sviluppo di Hunter Strategy. “Possiamo imparare dai progressi della sicurezza della catena di fornitura del software open source. Oppure non farlo, e lasciare che la situazione diventi terribile“.
Questo articolo è apparso originariamente su Wired US.
