Ricercatori avvertono che il "vibe coding" sta diffondendo blocchi di codice vulnerabile generati con tool come Claude, Gemini e GitHub Copilot. Hanno analizzato oltre 43,000 avvisi di sicurezza sul web e collegato molti avvisi al codice prodotto dall'AI.
Il Vibe Security Radar, creato dallo Systems Software & Security Lab (SSLab) della Georgia Tech, scansiona database pubblici di vulnerabilità, identifica l'errore in ogni caso ed esamina la storia del codice per capire chi ha introdotto il bug. Se trova la firma di uno strumento AI, segnala il caso. Il radar può tracciare metadati come tag di co-autore e email di bot, ma non riconosce i casi quando questi marcatori sono stati rimossi.
Finora il radar ha confermato 74 casi, con 14 etichettati come critici e 25 ad alto rischio. Le vulnerabilità includono command injection, autenticazione bypassata e server-side request forgery. Zhao osserva: "Milioni di sviluppatori che usano gli stessi modelli significano gli stessi bug che compaiono in progetti diversi". Il team sta anche sviluppando modelli per individuare codice AI direttamente dal codice.
Parole difficili
- vulnerabilità — punto debole che permette un attacco informatico
- generare — produrre qualcosa automaticamente, spesso da un programmagenerati
- scansionare — esaminare rapidamente per trovare problemi o datiscansiona
- metadato — informazioni sui dati che descrivono altri datimetadati
- firma — segno o caratteristica che identifica un autore
- segnalare — dire a qualcun altro che c'è un problemasegnala
- autenticazione — controllo che conferma l'identità di un utente
- errore — comportamento sbagliato o malfunzionamento in un programma
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Hai mai usato strumenti AI per scrivere codice? Racconta un'esperienza o spiega perché non li usi.
- Quando usi codice generato da AI, quali controlli pratici puoi fare per evitare vulnerabilità?
- Secondo te, che vantaggi può avere uno strumento come il Vibe Security Radar per una squadra di sviluppo?
Articoli correlati
Internet decente fuori portata per molti paesi a basso e medio reddito
Un rapporto avverte che la maggior parte delle persone nei paesi a basso e medio reddito non ha accesso a una connessione internet davvero utile. Serve 4G, uno smartphone e uso quotidiano per partecipare a istruzione, lavoro e salute online.
Braccio robotico gonfiabile per aiutare la raccolta di mele
Coltivatori di frutta nello Stato di Washington affrontano una mancanza di lavoratori. Ricercatori della Washington State University hanno creato un braccio robotico gonfiabile e a basso costo per aiutare nella raccolta e in altri compiti nei frutteti.
Collegare computer quantistici a lunga distanza
Ricercatori della University of Chicago propongono un approccio per collegare computer quantistici su grandi distanze. Hanno migliorato la coerenza di atomi in cristalli e usato una tecnica di crescita diversa per ottenere materiali più puri.
