Shadow Vibe Coding: la nuova minaccia nascosta nello sviluppo software con l’IA

Con la crescente integrazione dei modelli generativi nello sviluppo software, le aziende stanno aumentando le preoccupazioni, non tanto per le prestazioni, quanto per la sicurezza. Secondo un sondaggio di Dark Reading , solo il 25% degli sviluppatori ha dichiarato di aver implementato il vibe coding senza problemi significativi, mentre il resto ha riconosciuto che i rischi erano troppo elevati.

Il Vibe Coding si riferisce a un processo in cui un programmatore fornisce istruzioni a un modello come Google Gemini in linguaggio naturale, che genera codice senza l’intervento umano.

Dal punto di vista della velocità e della praticità, questo metodo è allettante, motivo per cui, quasi tutti i principali clienti utilizzano già strumenti di generazione di codice. Tuttavia, con l’aumento dell’efficienza arrivano nuove minacce.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il principale è la qualità del codice prodotto. Gli algoritmi non sono in grado di valutare adeguatamente la sicurezza delle soluzioni e sono soggetti ad “allucinazioni”, ovvero errori logici imprevedibili. Il codice risultante contiene spesso vulnerabilità che gli sviluppatori notano solo dopo il rilascio. Pertanto, la maggior parte degli esperti consiglia di utilizzare gli assistenti AI come strumento ausiliario, ma di non consentire loro di pubblicare build finali senza la revisione umana.

Secondo un sondaggio condotto su quasi mille professionisti, solo il 24% degli intervistati ritiene che il vibe coding aiuti effettivamente a creare applicazioni sicure più velocemente. Il 41% dei partecipanti ha dichiarato di non implementare tali strumenti a causa dell’elevato livello di rischio, il 16% è disposto a prendere in considerazione questa pratica dopo aver apportato modifiche ai propri processi e il 19% non la utilizza attualmente, ma prevede di iniziare.

Tuttavia, il 76% che ha rifiutato l’utilizzo completo non significa necessariamente che le aziende stiano evitando l’argomento. Molte stanno sperimentando in ambienti di test o utilizzando alcune funzionalità di generazione di codice in modalità limitata. Come osserva Omdia, la quota effettiva di utenti potrebbe essere superiore ai dati ufficiali, poiché alcuni sviluppatori utilizzano tali strumenti senza avvisare il management, una pratica nota come “shadow vibe coding“.

Questa zona grigia è già diventata un problema serio. Gli sviluppatori, nel tentativo di accelerare il lavoro e aggirare la burocrazia delle approvazioni, stanno collegando servizi di intelligenza artificiale non autorizzati, non sottoposti a verifica o monitoraggio da parte dei servizi di sicurezza. Nel suo rapporto “Costo di una violazione dei dati nel 2025“, IBM ha rilevato che un intervistato su cinque ha subito un attacco correlato all’uso “ombra” dell’intelligenza artificiale e che il danno derivante da tali incidenti è stato, in media, di 670.000 dollari superiore rispetto alle aziende che non hanno adottato tali pratiche.

Nonostante questi risultati allarmanti, non è più possibile arrestare completamente la diffusione del vibe coding. Gli strumenti basati su LLM stanno gradualmente diventando parte integrante dello sviluppo moderno, a volte anche all’insaputa dei team di sicurezza informatica. Pertanto, trasparenza e controllo rimangono fondamentali.

Il governo britannico ha già pubblicato le proprie linee guida per l’uso sicuro degli assistenti AI nello sviluppo software per le agenzie governative. In esse si sottolinea la necessità di comprendere i limiti della tecnologia, testare i risultati per individuare eventuali errori, condurre revisioni del codice e formare specialisti nell’utilizzo delle reti neurali. Solo questo approccio può bilanciare efficienza e sicurezza senza trasformare l’IA generativa in una fonte di nuove vulnerabilità.

Per ora, il settore sta imparando dai propri errori e ogni nuovo esempio dimostra che l’automazione senza responsabilità è sempre più costosa del vero lavoro manuale.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.