Ricercatori segnalano che il cosiddetto "vibe coding" sta diffondendo batch di codice vulnerabile creato con strumenti generativi AI come Claude, Gemini e GitHub Copilot. Per indagare il fenomeno, i team hanno analizzato oltre 43,000 avvisi di sicurezza pubblici e hanno trovato numerosi casi in cui gli strumenti AI hanno contribuito a generare codice insicuro.
Il Vibe Security Radar, sviluppato dallo Systems Software & Security Lab (SSLab) della Georgia Tech, scansiona database pubblici di vulnerabilità, individua l'errore in ogni caso ed esamina la storia del codice per capire chi ha introdotto il bug. Il radar cerca firme nei metadati, come tag di co-autore e email di bot, e segnala i casi quando trova tali tracce. Tuttavia non può identificare i casi se questi marcatori sono stati rimossi, perciò il team sta sviluppando rilevazioni comportamentali basate su schemi nel nome delle variabili, nella struttura delle funzioni e nella gestione degli errori: "Stiamo costruendo modelli che possono identificare codice AI dal codice stesso, senza bisogno di metadati", spiega Hanqing Zhao.
- Lo strumento ha confermato 74 casi totali; 14 sono critici e 25 ad alto rischio.
- Vulnerabilità trovate: command injection, autenticazione bypassata, server-side request forgery.
- Il radar ha registrato 18 casi nella seconda metà del 2025, poi 56 casi nei primi tre mesi del 2026; solo marzo 2026 ha avuto 35 casi.
Zhao mette in guardia: il codice prodotto dall'AI richiede una revisione attenta. "Se distribuisci output AI in produzione, esaminalo come faresti con la pull request di uno sviluppatore junior. Soprattutto tutto ciò che riguarda la gestione degli input e l'autenticazione", dice. SSLab raccomanda prompt più dettagliati e strumenti di verifica delle vulnerabilità, perché la superficie d'attacco cresce con agenti AI più autonomi che possono creare file e prendere decisioni architetturali. Claude Code e Copilot rappresentano la maggior parte delle rilevazioni, in parte perché lasciano firme più chiare.
Fonte: Georgia Tech
Parole difficili
- vibe coding — diffusione di codice insicuro generato dall'AI
- generativo — che crea contenuti automaticamente con l'intelligenza artificialegenerativi
- metadato — informazioni aggiuntive che descrivono altri datimetadati
- rilevazione — identificazione o scoperta di un problema o tracciarilevazioni
- scansionare — esaminare risorse digitali per trovare problemiscansiona
- bypassare — superare o eludere una protezione o controllobypassata
- superficie — area esposta che può essere attaccata o sfruttata
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Quali misure pratiche dovrebbero adottare le aziende per controllare il codice generato dall'AI prima di metterlo in produzione? Motiva la risposta.
- Quali rischi concreti possono derivare dal fatto che agenti AI autonomi possano creare file e prendere decisioni architetturali? Fai esempi.
- Come pensi che strumenti come il Vibe Security Radar possano migliorare la sicurezza del software? Quali limiti restano comunque difficili da risolvere?
Articoli correlati
Giochi al computer migliorano il cervello dopo una lesione
Una ricerca trova che persone con lesioni cerebrali traumatiche possono migliorare la struttura del cervello e le capacità cognitive giocando a esercizi cognitivi al computer. Lo studio ha rilevato cambiamenti nella neuroplasticità e miglioramenti nei test di velocità, attenzione e memoria.
Metodo ispirato agli stormi migliora i riassunti dell'AI
Ricercatori della New York University hanno creato un metodo che usa principi degli stormi di uccelli per scegliere frasi importanti e fornire input migliori ai modelli linguistici. Il sistema riduce le "allucinazioni" e migliora l'accuratezza dei riassunti.
Uganda: riforme per scienza e innovazione
Un rapporto nazionale chiede riforme nei sistemi di scienza, tecnologia e innovazione in Uganda per aiutare il paese a diventare a reddito medio. Segnala lacune di genere, finanziamenti deboli e la necessità di collegare ricerca, governo e imprese.
Sensori e intelligenza artificiale per monitorare l'aria in Sudafrica
Scienziati sudafricani hanno creato AI_r, un sistema con sensori, Internet of Things e intelligenza artificiale per misurare la qualità dell'aria in tempo reale. Il progetto usa reti a basso costo e sta ampliando i sensori nel distretto di Sedibeng.