Shadow Vibe Coding: la nuova minaccia nascosta nello sviluppo software con l’IA

Redazione RHC : 8 Ottobre 2025 20:55

Con la crescente integrazione dei modelli generativi nello sviluppo software, le aziende stanno aumentando le preoccupazioni, non tanto per le prestazioni, quanto per la sicurezza. Secondo un sondaggio di Dark Reading , solo il 25% degli sviluppatori ha dichiarato di aver implementato il vibe coding senza problemi significativi, mentre il resto ha riconosciuto che i rischi erano troppo elevati.

Il Vibe Coding si riferisce a un processo in cui un programmatore fornisce istruzioni a un modello come Google Gemini in linguaggio naturale, che genera codice senza l’intervento umano.

Dal punto di vista della velocità e della praticità, questo metodo è allettante, motivo per cui, quasi tutti i principali clienti utilizzano già strumenti di generazione di codice. Tuttavia, con l’aumento dell’efficienza arrivano nuove minacce.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il principale è la qualità del codice prodotto. Gli algoritmi non sono in grado di valutare adeguatamente la sicurezza delle soluzioni e sono soggetti ad “allucinazioni”, ovvero errori logici imprevedibili. Il codice risultante contiene spesso vulnerabilità che gli sviluppatori notano solo dopo il rilascio. Pertanto, la maggior parte degli esperti consiglia di utilizzare gli assistenti AI come strumento ausiliario, ma di non consentire loro di pubblicare build finali senza la revisione umana.

Secondo un sondaggio condotto su quasi mille professionisti, solo il 24% degli intervistati ritiene che il vibe coding aiuti effettivamente a creare applicazioni sicure più velocemente. Il 41% dei partecipanti ha dichiarato di non implementare tali strumenti a causa dell’elevato livello di rischio, il 16% è disposto a prendere in considerazione questa pratica dopo aver apportato modifiche ai propri processi e il 19% non la utilizza attualmente, ma prevede di iniziare.

Tuttavia, il 76% che ha rifiutato l’utilizzo completo non significa necessariamente che le aziende stiano evitando l’argomento. Molte stanno sperimentando in ambienti di test o utilizzando alcune funzionalità di generazione di codice in modalità limitata. Come osserva Omdia, la quota effettiva di utenti potrebbe essere superiore ai dati ufficiali, poiché alcuni sviluppatori utilizzano tali strumenti senza avvisare il management, una pratica nota come “shadow vibe coding“.

Questa zona grigia è già diventata un problema serio. Gli sviluppatori, nel tentativo di accelerare il lavoro e aggirare la burocrazia delle approvazioni, stanno collegando servizi di intelligenza artificiale non autorizzati, non sottoposti a verifica o monitoraggio da parte dei servizi di sicurezza. Nel suo rapporto “Costo di una violazione dei dati nel 2025“, IBM ha rilevato che un intervistato su cinque ha subito un attacco correlato all’uso “ombra” dell’intelligenza artificiale e che il danno derivante da tali incidenti è stato, in media, di 670.000 dollari superiore rispetto alle aziende che non hanno adottato tali pratiche.

Nonostante questi risultati allarmanti, non è più possibile arrestare completamente la diffusione del vibe coding. Gli strumenti basati su LLM stanno gradualmente diventando parte integrante dello sviluppo moderno, a volte anche all’insaputa dei team di sicurezza informatica. Pertanto, trasparenza e controllo rimangono fondamentali.

Il governo britannico ha già pubblicato le proprie linee guida per l’uso sicuro degli assistenti AI nello sviluppo software per le agenzie governative. In esse si sottolinea la necessità di comprendere i limiti della tecnologia, testare i risultati per individuare eventuali errori, condurre revisioni del codice e formare specialisti nell’utilizzo delle reti neurali. Solo questo approccio può bilanciare efficienza e sicurezza senza trasformare l’IA generativa in una fonte di nuove vulnerabilità.

Per ora, il settore sta imparando dai propri errori e ogni nuovo esempio dimostra che l’automazione senza responsabilità è sempre più costosa del vero lavoro manuale.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli