Ricercatori segnalano che il cosiddetto "vibe coding" sta diffondendo batch di codice vulnerabile creato con strumenti generativi AI come Claude, Gemini e GitHub Copilot. Per indagare il fenomeno, i team hanno analizzato oltre 43,000 avvisi di sicurezza pubblici e hanno trovato numerosi casi in cui gli strumenti AI hanno contribuito a generare codice insicuro.
Il Vibe Security Radar, sviluppato dallo Systems Software & Security Lab (SSLab) della Georgia Tech, scansiona database pubblici di vulnerabilità, individua l'errore in ogni caso ed esamina la storia del codice per capire chi ha introdotto il bug. Il radar cerca firme nei metadati, come tag di co-autore e email di bot, e segnala i casi quando trova tali tracce. Tuttavia non può identificare i casi se questi marcatori sono stati rimossi, perciò il team sta sviluppando rilevazioni comportamentali basate su schemi nel nome delle variabili, nella struttura delle funzioni e nella gestione degli errori: "Stiamo costruendo modelli che possono identificare codice AI dal codice stesso, senza bisogno di metadati", spiega Hanqing Zhao.
- Lo strumento ha confermato 74 casi totali; 14 sono critici e 25 ad alto rischio.
- Vulnerabilità trovate: command injection, autenticazione bypassata, server-side request forgery.
- Il radar ha registrato 18 casi nella seconda metà del 2025, poi 56 casi nei primi tre mesi del 2026; solo marzo 2026 ha avuto 35 casi.
Zhao mette in guardia: il codice prodotto dall'AI richiede una revisione attenta. "Se distribuisci output AI in produzione, esaminalo come faresti con la pull request di uno sviluppatore junior. Soprattutto tutto ciò che riguarda la gestione degli input e l'autenticazione", dice. SSLab raccomanda prompt più dettagliati e strumenti di verifica delle vulnerabilità, perché la superficie d'attacco cresce con agenti AI più autonomi che possono creare file e prendere decisioni architetturali. Claude Code e Copilot rappresentano la maggior parte delle rilevazioni, in parte perché lasciano firme più chiare.
Fonte: Georgia Tech
Parole difficili
- vibe coding — diffusione di codice insicuro generato dall'AI
- generativo — che crea contenuti automaticamente con l'intelligenza artificialegenerativi
- metadato — informazioni aggiuntive che descrivono altri datimetadati
- rilevazione — identificazione o scoperta di un problema o tracciarilevazioni
- scansionare — esaminare risorse digitali per trovare problemiscansiona
- bypassare — superare o eludere una protezione o controllobypassata
- superficie — area esposta che può essere attaccata o sfruttata
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Quali misure pratiche dovrebbero adottare le aziende per controllare il codice generato dall'AI prima di metterlo in produzione? Motiva la risposta.
- Quali rischi concreti possono derivare dal fatto che agenti AI autonomi possano creare file e prendere decisioni architetturali? Fai esempi.
- Come pensi che strumenti come il Vibe Security Radar possano migliorare la sicurezza del software? Quali limiti restano comunque difficili da risolvere?
Articoli correlati
AI e disinformazione nelle elezioni in Bangladesh
Il 12 febbraio il Bangladesh ha tenuto un'elezione dopo una grande sollevazione studentesca del luglio 2024. Durante la campagna l'intelligenza artificiale ha generato immagini e video falsi che hanno diffuso notizie e citazioni inventate.
Previsioni migliori per ridurre i decessi legati al caldo
Una ricerca mostra che previsioni meteorologiche più accurate e avvisi tempestivi possono ridurre i decessi legati al caldo mentre il clima si riscalda. Lo studio ha usato previsioni, dati osservati e registri di mortalità per valutare scenari futuri.