Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L'NCSC del Regno Unito lancia l'allarme sul vibe coding, il nuovo trend di sviluppo software tramite IA con minimo intervento umano. Le aziende stanno sostituendo i costosi modelli SaaS con codice autoprodotto in poche ore, ma questa velocità genera vulnerabilità critiche e sistemi difficili da manutenere. È un cambiamento sistemico che antepone il risparmio alla sicurezza; senza test rigorosi e verifica umana, il rilascio di massa di software insicuro aggraverà l'attuale crisi di attacchi informatici.
Il Centro per la sicurezza informatica del Regno Unito ha avvertito recentemente, che un nuovo approccio allo sviluppo di software basato sull’intelligenza artificiale potrebbe cambiare radicalmente il mercato del software cloud.
Si tratta del così tanto decantato “vibe coding”, in cui servizi e applicazioni vengono creati con un intervento umano veramente all’osso. Se da un lato questo aumenta la velocità di sviluppo delle applicazioni, dall’altro aumenta anche il costo dei relativi errori, soprattutto quando le vulnerabilità diventano facili punti di ingresso per gli attacchi dei malintenzionati.
Il National Cyber Security Centre (NCSC) del Regno Unito ha affermato che l’ascesa del “vibe coding” potrebbe rivoluzionare l’intero segmento SaaS. Secondo l’agenzia, tutte quelle aziende che si stanno rivolgendo sempre di più agli strumenti di intelligenza artificiale come mezzo per creare codice a basso costo, potrebbero essere a rischio. La discussione è stata inoltre innescata dal crollo dei titoli software e cloud di febbraio, quando gli investitori hanno iniziato a discutere seriamente delle pressioni sul modello SaaS tradizionale .
La NSCS ha riportato queste precise parole: “Esiste un’idea un po’ semplicistica secondo cui tutto ciò che un’azienda fa è o un “centro di profitto” (qualcosa che genera denaro per l’azienda ) o un “centro di costo” (qualcosa che viene contabilizzato come costo operativo ). Le organizzazioni sono generalmente disposte a investire e sviluppare sistemi che fanno parte dell’attività principale (ovvero, i centri di profitto), ma desiderano ridurre al minimo le spese per la gestione di sistemi IT più ausiliari o di supporto (ovvero, i centri di costo).”
Alla conferenza RSA di San Francisco, Richard Horne, a capo dell’NCSC, ha esortato tutti quanti i professionisti della sicurezza dei dati a intervenire tempestivamente per garantire che gli strumenti di sviluppo dell’IA apportino soprattutto benefici anziché danni. Secondo Horne, l’ambiente digitale è già afflitto da una grande ondata di attacchi informatici che sfruttano serie vulnerabilità del codice facilmente correggibili. In questo contesto, il rilascio in massa di software insicuro, il quale è stato creato sfruttando le potenzialità e la velocità delle AI, non farebbe altro che aggravare il problema.
L’agenzia osserva che la tentazione per le aziende è molto comprensibile. Invece di costosi abbonamenti e funzionalità limitate, gli sviluppatori stanno realizzando in onprem, prodotti simili al SaaS in poche ore sfruttando la velocità delle AI. Questo cambiamento potrebbe riecheggiare gli albori del mercato del cloud, quando le aziende iniziarono a migrare i loro preziosi processi verso le nuove piattaforme cloud per comodità e risparmio sui costi.
Allo stesso tempo, l’NCSC avverte che il codice generato dall’IA è spesso risulta inaffidabile (e lo abbiamo visto molte volte sulle pagine di Red Hot Cyber). Infatti risulta difficile da manutenere e soggetto a gravi falle di sicurezza.
Se le aziende iniziano a tollerare tali rischi in virtù del risparmio e della velocità di sviluppo, i sistemi vulnerabili entreranno in produzione rapidamente. L’agenzia raccomanda di garantire in modo proattivo la generazione di codice sicuro per impostazione predefinita. Di verificarne l’integrità dei modelli e di utilizzare più ampiamente la verifica e il test automatizzati, ma anche la verifica manuale.
Secondo l’NCSC, i cambiamenti nel settore SaaS – e del cloud in generale – saranno graduali, con un ritmo che dipenderà dalla complessità dei sistemi e dalla propensione di accettare il rischio da parte delle aziende.
