Ricercatori avvertono che il "vibe coding" sta diffondendo blocchi di codice vulnerabile generati con tool come Claude, Gemini e GitHub Copilot. Hanno analizzato oltre 43,000 avvisi di sicurezza sul web e collegato molti avvisi al codice prodotto dall'AI.
Il Vibe Security Radar, creato dallo Systems Software & Security Lab (SSLab) della Georgia Tech, scansiona database pubblici di vulnerabilità, identifica l'errore in ogni caso ed esamina la storia del codice per capire chi ha introdotto il bug. Se trova la firma di uno strumento AI, segnala il caso. Il radar può tracciare metadati come tag di co-autore e email di bot, ma non riconosce i casi quando questi marcatori sono stati rimossi.
Finora il radar ha confermato 74 casi, con 14 etichettati come critici e 25 ad alto rischio. Le vulnerabilità includono command injection, autenticazione bypassata e server-side request forgery. Zhao osserva: "Milioni di sviluppatori che usano gli stessi modelli significano gli stessi bug che compaiono in progetti diversi". Il team sta anche sviluppando modelli per individuare codice AI direttamente dal codice.
Parole difficili
- vulnerabilità — punto debole che permette un attacco informatico
- generare — produrre qualcosa automaticamente, spesso da un programmagenerati
- scansionare — esaminare rapidamente per trovare problemi o datiscansiona
- metadato — informazioni sui dati che descrivono altri datimetadati
- firma — segno o caratteristica che identifica un autore
- segnalare — dire a qualcun altro che c'è un problemasegnala
- autenticazione — controllo che conferma l'identità di un utente
- errore — comportamento sbagliato o malfunzionamento in un programma
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Hai mai usato strumenti AI per scrivere codice? Racconta un'esperienza o spiega perché non li usi.
- Quando usi codice generato da AI, quali controlli pratici puoi fare per evitare vulnerabilità?
- Secondo te, che vantaggi può avere uno strumento come il Vibe Security Radar per una squadra di sviluppo?
Articoli correlati
Giochi al computer migliorano il cervello dopo una lesione
Una ricerca trova che persone con lesioni cerebrali traumatiche possono migliorare la struttura del cervello e le capacità cognitive giocando a esercizi cognitivi al computer. Lo studio ha rilevato cambiamenti nella neuroplasticità e miglioramenti nei test di velocità, attenzione e memoria.
Metodo ispirato agli stormi migliora i riassunti dell'AI
Ricercatori della New York University hanno creato un metodo che usa principi degli stormi di uccelli per scegliere frasi importanti e fornire input migliori ai modelli linguistici. Il sistema riduce le "allucinazioni" e migliora l'accuratezza dei riassunti.
Uganda: riforme per scienza e innovazione
Un rapporto nazionale chiede riforme nei sistemi di scienza, tecnologia e innovazione in Uganda per aiutare il paese a diventare a reddito medio. Segnala lacune di genere, finanziamenti deboli e la necessità di collegare ricerca, governo e imprese.
Sensori e intelligenza artificiale per monitorare l'aria in Sudafrica
Scienziati sudafricani hanno creato AI_r, un sistema con sensori, Internet of Things e intelligenza artificiale per misurare la qualità dell'aria in tempo reale. Il progetto usa reti a basso costo e sta ampliando i sensori nel distretto di Sedibeng.