L’evoluzione tecnologica sta modificando radicalmente le modalità di sviluppo del software, introducendo pratiche innovative che ridefiniscono il confine tra programmazione umana e automazione. Tra le tendenze più discusse emerge il vibe coding, un approccio che delega la scrittura delle linee di codice ai modelli di intelligenza artificiale, guidati esclusivamente da indicazioni testuali. In una recente intervista rilasciata ai microfoni del podcast Hacker Valley Media, l’esperta di sicurezza informatica Tanya Janca e l’host Ron Eddings hanno analizzato i rischi strutturali e le implicazioni sistemiche di questa trasformazione, evidenziando come la rapidità di implementazione possa compromettere la stabilità e la protezione delle infrastrutture digitali globali.
Indice degli argomenti:
Dai vincoli del programma Apollo al crollo di Knight Capital
Per comprendere l’entità del cambio di paradigma in corso, è necessario confrontare l’attuale facilità di generazione del codice con i modelli storici dell’ingegneria del software. Nel 1969, la disciplina si fondava su vincoli tecnici straordinariamente rigidi. Margaret Hamilton, direttrice dell’ingegneria del software per il programma Apollo della NASA, si trovò a sviluppare i sistemi di guida per le missioni lunari disponendo di appena 72 kilobyte di memoria.
In quell’ambiente operativo, ogni singola riga di codice doveva essere corretta al primo tentativo, poiché l’assenza di strumenti moderni come patch correttive, rollback o piattaforme di versionamento imponeva una precisione assoluta. La rigorosa applicazione del pensiero sistemico permise al software dell’Apollo di gestire un sovraccarico di dati a tre minuti dall’allunaggio dell’Eagle, disattivando le attività non essenziali e garantendo la sicurezza degli astronauti.
Al contrario, la progressiva espansione della memoria e l’avvento del cloud hanno ridotto la percezione del rischio legato alla stabilità del codice. Un esempio emblematico delle conseguenze derivanti dalla mancanza di controllo sul software risale al 1° agosto 2012, all’apertura della borsa di New York. La società di trading Knight Capital attivò un nuovo applicativo che, a causa della mancata disattivazione di un vecchio frammento di codice dismesso, generò milioni di transazioni errate ad altissima velocità. Nell’arco di soli 45 minuti, l’azienda perse 460 milioni di dollari, dimostrando come l’assenza di una verifica accurata su ogni scenario di guasto possa distruggere in pochi minuti un’infrastruttura tecnologica consolidata in diciassette anni di attività.
Che cos’è il vibe coding e perché sta riscrivendo le regole del software
Il passaggio dai rigorosi controlli manuali alla proliferazione del codice generato dall’intelligenza artificiale trova la sua massima espressione nell’adozione del vibe coding. Tanya Janca ne definisce i confini operativi con precisione: «La mia definizione di vibe coding è quando l’AI scrive tutto il codice e tu ti limiti a dirigerla tramite prompt, senza più codificare davvero». Questo fenomeno si caratterizza per il rilascio immediato del software in ambienti di produzione, omettendo la revisione strutturale del codice e la piena comprensione delle logiche implementate.
All’interno della comunità degli sviluppatori, il fenomeno viene talvolta identificato con l’espressione agentic engineering, qualora l’attività si concentri specificamente sulla creazione e l’ingegnerizzazione di agenti autonomi. Sebbene l’integrazione di assistenti basati su modelli linguistici rappresenti uno strumento dalle potenzialità straordinarie, il rischio principale risiede nell’automatismo acritico. Janca ricorre a una metafora efficace per descrivere l’attuale leggerezza metodologica, affermando che «Non chiuderei mai gli occhi prima di colpire un chiodo con un martello, perché tengo alle mie dita».
La riduzione della barriera d’ingresso nello sviluppo software consente anche a figure non specializzate di distribuire applicativi, aumentando proporzionalmente il rischio di introdurre vulnerabilità critiche nei sistemi di produzione.
Quando i prompt falliscono: vulnerabilità pratiche e incidenti sul campo
L’illusione che l’inserimento di indicazioni specifiche volte alla sicurezza possa garantire l’infallibilità dei sistemi viene smentita dall’esperienza sul campo. I prompt di sicurezza, pur fornendo un supporto utile, non escludono la generazione di anomalie. Durante una sessione di formazione aziendale condotta da Janca con sessanta partecipanti, è emerso un comportamento inatteso da parte dei modelli linguistici. A parità di prompt di sicurezza standardizzato, cinquantanove sviluppatori hanno ottenuto un codice corretto, mentre l’assistente Claude ha inserito nel codice del trentesimo partecipante alcuni commenti volti a ordinare al linter Python di ignorare le righe successive, provocando intenzionalmente il puntamento di dati sensibili all’interno dei log di sistema.
Questo tipo di malfunzionamento evidenzia come i modelli di intelligenza artificiale tendano a replicare gli errori presenti nei set di dati utilizzati per il loro addestramento. Gli algoritmi attingono all’intero patrimonio informativo della rete, che include tutorial obsoleti, documentazione superata e repository volutamente vulnerabili creati per scopi didattici o di test. Come sottolineato da Janca, il risultato è che «Praticamente l’AI sta inserendo la OWASP Top 10 in ogni app che costruisce per noi», trasformando vecchie tipologie di errore in vulnerabilità strutturali diffuse su larga scala.
L’evoluzione delle minacce secondo la OWASP Top 10
Il quadro normativo e metodologico della Application Security registra queste trasformazioni attraverso l’aggiornamento delle linee guida internazionali. La versione 2025 della OWASP Top 10, co-diretta da Tanya Janca, estende il proprio raggio d’azione introducendo un totale di tredici rischi critici, di cui tre specificamente dedicati all’impatto dell’intelligenza artificiale nei processi di sviluppo. I dati raccolti dall’industria, derivanti principalmente da penetration test e strumenti di analisi automatizzata, confermano la persistenza di minacce storiche accanto a vettori di attacco emergenti.
Un esempio evidente è rappresentato dal prompt injection, un fenomeno che Janca riconduce alle dinamiche classiche delle vulnerabilità da iniezione software. La problematica risiede nell’incapacità del sistema di separare nettamente le istruzioni operative dai dati di input forniti dall’utente. Di conseguenza, attacchi di questo genere ricalcano i vecchi meccanismi del SQL injection, in cui un utente malintenzionato può indurre il sistema a ignorare le direttive precedenti per eseguire comandi arbitrari.
Accanto a questo scenario, continuano a manifestarsi falle storiche quali il Broken Access Control (controllo degli accessi interrotto), l’esposizione non autorizzata di dati sensibili e l’assenza di un monitoraggio tempestivo degli errori di sistema.
Soluzioni operative e l’urgenza di un quadro normativo
La mitigazione dei rischi associati alla diffusione del vibe coding richiede l’adozione di strategie di sicurezza multilivello e la strutturazione di programmi completi di Application Security (AppSec). L’implementazione di prompt di sistema a livello organizzativo consente di imporre controlli standardizzati ogni volta che viene generato del codice, ma l’architettura complessiva deve prevedere pratiche consolidate come il threat modeling e la verifica della supply chain del software.
Sul piano pratico, la riduzione dell’esposizione al rischio può essere ottenuta anche attraverso scelte architetturali mirate a limitare la superficie di attacco. Analizzando il caso di Buddybase, un applicativo di gestione aziendale privo di autenticazione a due fattori ma protetto tramite credenziali standard e accesso vincolato alla rete VPN Tailscale, Janca ha evidenziato come l’isolamento della rete riduca significativamente la pericolosità intrinseca.
Per ottimizzare ulteriormente la sicurezza senza incrementare l’attrito per l’utente finale, l’esperta suggerisce l’adozione della device flow authentication tramite l’invio di collegamenti monouso, osservando che «Meno attrito c’è, più le persone saranno conformi».
Oltre alle soluzioni tecniche, la standardizzazione dei processi richiede interventi istituzionali. Di fronte all’insufficienza di framework generali come ISO 27000 o le linee guida NIST nel coprire le specificità della creazione di applicazioni sciure, Janca ha promosso una petizione formale presso il governo del Canada per istituire la prima legge al mondo sulla codifica sicura obbligatoria, finalizzata a vincolare le organizzazioni pubbliche e private al rispetto di rigidi standard di sviluppo.
Le previsioni a cinque anni sulla sicurezza e la fiducia degli utenti
Nel corso del dibattito, l’host Ron Eddings ha posto un interrogativo cruciale sul futuro a medio termine delle infrastrutture digitali: «Se il vibe coding diventasse lo standard per creare software e la sicurezza non cambiasse, come immaginate che sarà internet tra cinque anni?». Lo scenario dello studio evidenzia una potenziale crisi di fiducia da parte della collettività nei confronti dei servizi digitali.
La risposta di Tanya Janca evidenzia una progressiva reazione difensiva da parte degli utenti: «Penso che le persone smetterebbero di darci i loro dati», sottolineando la tendenza sempre più diffusa a registrare profili utilizzando generalità alterate per evitare le conseguenze dei continui data breach.
L’attuale tolleranza del mercato, in cui le violazioni dei sistemi informatici producono fluttuazioni azionarie temporanee senza sanzioni reali, è destinata a esaurirsi. Le previsioni indicano la necessità di un intervento governativo severo, caratterizzato da sanzioni pecuniarie rigorose e dall’obbligo per le aziende di dimostrare un’azione quotidiana e affidabile a tutela dei dati personali, superando la prassi delle dichiarazioni di facciata sull’importanza della sicurezza informatica.
Partecipa alla community