Geoff Burke, Senior Technology Advisor di Object First, ci spiega come il vibe coding offra all’AI massimo controllo sul risultato finale del software.
Definire l’IA uno strumento indispensabile nello sviluppo software potrebbe essere un eufemismo. Recenti sondaggi mostrano che l’84% degli sviluppatori utilizza attualmente, o prevede di utilizzare, l’IA nelle proprie attività quotidiane, sebbene molti siano preoccupati dei rischi per la sicurezza legati al codice generato dall’IA.
Ciò detto, il ruolo dell’intelligenza artificiale negli ambienti di sviluppo continua a crescere, grazie a una nuova tecnica nota come “vibe coding”. Descritto per la prima volta dal fondatore di OpenAI all’inizio di quest’anno, il vibe coding offre all’intelligenza artificiale massimo controllo sul risultato finale del software, consentendo a sviluppatori e non sviluppatori di generare rapidamente il codice ed evitare laboriose revisioni che rallentano i progetti.
Una soluzione allettante per le aziende, che sperano di potenziare i propri ambienti di sviluppo risparmiando tempo, denaro e stress, ma al contempo rischiosa: un po’ come dare in mano una potente “Ferrari” a qualcuno che non sa guidare.
L’intelligenza artificiale comporta numerosi rischi, ampiamente documentati: ogni giorno escono notizie su deepfake che minacciano le elezioni, sull’IA che andrebbe a privilegiare nominativi legati ad esempio una determinata etnia, o su fughe di dati che coinvolgono un codice sorgente aziendale sensibile inserito in ChatGPT. Ma i rischi che preoccupano maggiormente i responsabili della sicurezza sono quelli legati alle minacce ai dati su cui si basano le attività mission-critical delle loro aziende.
Cos’è il vibe coding?
Il vibe coding in sé non richiede allo sviluppatore di scrivere, revisionare o modificare nulla: è sufficiente descrivere un insieme di proprietà a un ampio modello linguistico e accettarne le raccomandazioni, senza esaminarle o comprenderle appieno. Invece di scrivere un codice strutturato e sottoporlo a una revisione rigorosa, lo sviluppatore dialoga con l’IA in linguaggio naturale.
I sostenitori di questo processo lo considerano uno strumento prezioso per la prototipazione, per l’hacking di concetti disconnessi o il brainstorming su nuove idee, mentre i critici temono che delegare funzioni di codifica a persone senza competenze aggravi ulteriormente un problema di sicurezza già complesso. Secondo il 2025 GenAI Code Security Report di Veracode, il codice prodotto dall’intelligenza artificiale genera vulnerabilità di sicurezza nel 45% dei casi, esponendo le organizzazioni a una serie di rischi per la sicurezza informatica.
Il problema principale riguarda i backup: gli autori delle minacce stanno prendendo i dati di backup, e i sistemi di backup della maggior parte delle organizzazioni non sono progettati per resistere a questo tipo di attacchi. Secondo un recente studio condotto da Enterprise Strategy Group (ESG), “Quasi tutte le organizzazioni (96%) che hanno subito un attacco ransomware negli ultimi due anni hanno dichiarato che i propri dati di backup sono stati presi di mira almeno una volta”. Quasi la metà (49%) ha impiegato fino a cinque giorni lavorativi per recuperare i propri dati e la maggior parte non è riuscita a recuperarli tutti.
Nella programmazione vibe, i backup vengono spesso trascurati: gli sviluppatori realizzano rapidamente prototipi con l’intelligenza artificiale, ma poi potrebbero non comprendere appieno in che modo i backup vengono archiviati, protetti oppure eliminati.
Anche il codice generato dall’intelligenza artificiale spesso non rispetta i controlli di sicurezza. La codifica Vibe produce spesso un codice funzionale che potrebbe essere utile per la prototipazione, ma ignora le protezioni integrate relative al controllo degli accessi, alla crittografia, alle policy di conservazione o all’eliminazione sicura. Questo codice potrebbe replicare modelli non sicuri, portando a vulnerabilità come SQL injection o violazioni dei dati. Quando i controlli di accesso falliscono, i backup diventano bersagli. Se un aggressore riesce a penetrare un sistema tramite un endpoint vibe-coded potrebbe muoversi a piacimento, compromettendo log, file di configurazione e archivi di backup. Se i backup vengono archiviati senza crittografia o autenticazione, potrebbero essere sfruttati a scopo di lucro.
Il vibe coding, e gli inevitabili rischi e pericoli aggiuntivi che presenta, evidenziano ulteriormente la necessità di backup immutabili. Dove ci sono errori nel codice possono esserci vulnerabilità e dove ci sono vulnerabilità c’è una potenziale perdita di dati.
Raggiungere l’immutabilità assoluta
L’immutabilità è un concetto di sicurezza che consiste nel proteggere i dati critici garantendo che non possano essere alterati o eliminati una volta registrati. È ampiamente considerata una best practice del settore, tuttavia permane una discrepanza tra i responsabili IT che ne riconoscono l’importanza e coloro che l’hanno implementata.
Oltre l’80% dei responsabili IT intervistati da ESG considera l’immutabilità dell’archiviazione di backup come l’ultima linea di difesa e la componente più importante di qualunque strategia di protezione dal ransomware. Ciononostante, solo il 59% delle organizzazioni ha effettivamente implementato uno storage immutabile e solo il 58% dichiara di aderire alla regola 3-2-1 per il mantenimento di più copie di backup per garantire il ripristino. Immutabilità assoluta significa zero accessi ad azioni distruttive: nessun ripristino delle impostazioni di fabbrica, nessun accesso backdoor e nessun archivio di backup virtualizzato. Gli autori delle minacce sono abili nel trovare anche la più piccola vulnerabilità e utilizzarla per creare scompiglio. Nella sicurezza informatica, anche le più sottili complessità e gli aspetti tecnici sono cruciali.
Lo Storage a Oggetti con funzionalità di Object Lock è l’unico con immutabilità nativa integrata e dovrebbe essere gestito in modalità compliance, non in modalità governance, per evitare che utenti con privilegi possano sovrascrivere le impostazioni di blocco degli oggetti stessi. Quindi, implementare la crittografia end-to-end per impedire l’esfiltrazione dei dati ma fare attenzione ai fornitori che consigliano la deduplicazione, e che richiedono di disabilitare la crittografia. Questa configurazione di storage garantisce l’immutabilità dal momento in cui i dati vengono scritti.
Quando si prende in considerazione un dispositivo di archiviazione autonomo ottimizzato per i dati di backup, è indispensabile assicurarsi che il software di backup sia separato dallo storage di backup ed evitare appliance integrate e sistemi fai-da-te: questa è una misura di sicurezza aggiuntiva per limitare l’esposizione in caso di compromissione delle credenziali.
Conclusione
L’intelligenza artificiale è tra noi e sarà parte integrante dei processi software anche in futuro.
Le aziende che adottano il vibe coding devono essere consapevoli dei rischi che questo comporta per la sicurezza e adottare misure adeguate per proteggersi. Considerando le tattiche utilizzate dai moderni autori di minacce, misure proattive non sono sufficienti: le aziende devono essere in grado di prevedere la violazione ed essere pronte al ripristino. Proteggere i propri backup con lo storage immutabile è un buon primo passo.
