#NextGenAI, oggi alle 15.30 presso il Teatro San Carlo di Napoli, si svolgerà l’evento di del primo summit internazionale sull’intelligenza artificiale nella #scuola.
Qui la diretta ➡ youtube.com/live/LN_v2T5jsqw?f…
Ministero dell'Istruzione
#NextGenAI, oggi alle 15.30 presso il Teatro San Carlo di Napoli, si svolgerà l’evento di del primo summit internazionale sull’intelligenza artificiale nella #scuola. Qui la diretta ➡ https://youtube.com/live/LN_v2T5jsqw?feature=shareTelegram
“Gite ad Auschwitz”, è bufera sulle parole della ministra Roccella. Segre: “Verità fa male”
[quote]ROMA – “Le gite scolastiche ad Auschwitz sono state valorizzate per ripetere che l’antisemitismo era una questione fascista e basta”. Le parole della ministra per la Famiglia Eugenia Roccella, pronunciate…
L'articolo “Gite ad Auschwitz”, è bufera sulle parole
Rilasciati tutti gli ostaggi, lacrime e applausi a Tel Aviv. Trump: “È l’alba di un nuovo Medio Oriente”
[quote]TEL AVIV – Il giorno più atteso è arrivato. I primi sette ostaggi israeliani sono stati rilasciati da Hamas, in una zona nel sud di Gaza, poco dopo le sette…
L'articolo Rilasciati tutti gli ostaggi, lacrime e applausi a Tel Aviv.
Nazionale contro Israele tra obbligo di vittoria e tensione per possibili scontri
[quote]L’Italia è in cerca dei tre punti utili per consolidare il secondo posto nel girone e avvicinare la qualificazione ai Mondiali. Dopo la vittoria del 12 ottobre contro l’Estonia, 1-3…
L'articolo Nazionale contro Israele tra obbligo di vittoria e tensione per possibili
A prominent beer competition introduced an AI-judging tool without warning. The judges and some members of the wider brewing industry were pissed.#News #AI
What Happened When AI Came for Craft Beer
A prominent beer judging competition introduced an AI-based judging tool without warning in the middle of a competition, surprising and angering judges who thought their evaluation notes for each beer were being used to improve the AI, according to multiple interviews with judges involved. The company behind the competition, called Best Beer, also planned to launch a consumer-facing app that would use AI to match drinkers with beers, the company told 404 Media.Best Beer also threatened legal action against one judge who wrote an open letter criticizing the use of AI in beer tasting and judging, according to multiple judges and text messages reviewed by 404 Media.
The months-long episode shows what can happen when organizations try to push AI onto a hobby, pursuit, art form, or even industry which has many members who are staunchly pro-human and anti-AI. Over the last several years we’ve seen it with illustrators, voice actors, music, and many more. AI came for beer too.
“It is attempting to solve a problem that wasn’t a problem before AI showed up, or before big tech showed up,” Greg Loudon, a certified beer judge and brewery sales manager, and who was the judge threatened with legal action, said. “I feel like AI doesn’t really have a place in beer, and if it does, it’s not going to be in things that are very human.”
“There’s so much subjectivity to it, and to strip out all of the humanity from it is a disservice to the industry,” he added. Another judge said the introduction of AI was “enshittifying” beer tasting.
💡
Do you know anything else about how AI is impacting beer? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co.This story started earlier this year at a Canadian Brewing Awards judging event. Best Beer is the company behind the Canadian Brewing Awards, which gives awards in categories such as Experimental Beer, Speciality IPA, and Historic/Regional Beers. To be a judge, you have to be certified by the Beer Judge Certification Program (BJCP), which involves an exam covering the brewing process, different beer styles, judging procedures, and more.
Around the third day of the competition, the judges were asked to enter their tasting notes into a new AI-powered app instead of the platform they already use, one judge told 404 Media. 404 Media granted the judge anonymity to protect them from retaliation.
Using the AI felt like it was “parroting back bad versions of your judge tasting notes,” they said. “There wasn't really an opportunity for us to actually write our evaluation.” Judges would write what they thought of a beer, and the AI would generate several descriptions based on the judges’ notes that the judge would then need to select. It would then provide additional questions for judges to answer that were “total garbage.”
“It was taking real human feedback, spitting out crap, and then making the human respond to more crap that it crafted for you,” the judge said.
“On top of all the misuse of our time and disrespecting us as judges, that really frustrated me—because it's not a good app,” they said.
Screenshot of a Best Beer-related website.
Multiple judges then met to piece together what was happening, and Loudon published his open letter in April.
“They introduced this AI model to their pool of 40+ judges in the middle of the competition judging, surprising everyone for the sudden shift away from traditional judging methods,” the letter says. “Results are tied back to each judge to increase accountability and ensure a safe, fair and equitable judging environment. Judging for competitions is a very human experience that depends on people filling diverse roles: as judges, stewards, staff, organizers, sorters, and venue maintenance workers,” the letter says.
“Their intentions to gather our training data for their own profit was apparent,” the letter says. It adds that one judge said “I am here to judge beer, not to beta test.”
The letter concluded with this: “To our fellow beverage judges, beverage industry owners, professionals, workers, and educators: Sign our letter. Spread the word. Raise awareness about the real human harms of AI in your spheres of influence. Have frank discussions with your employers, colleagues, and friends about AI use in our industry and our lives. Demand more transparency about competition organizations.”
33 people signed the letter. They included judges, breweries, and members of homebrewer associations in Canada and the United States.
Loudon told 404 Media in a recent phone call “you need to tell us if you're going to be using our data; you need to tell us if you're going to be profiting off of our data, and you can't be using volunteers that are there to judge beer. You need to tell people up front what you're going to do.”
playlist.megaphone.fm?p=TBIEA2…
At least one brewery that entered its beer into the Canadian Brewing Awards publicly called out Best Beer and the awards. XhAle Brew Co., based out of Alberta, wrote in a Facebook post in April that it asked for its entry fees of $565 to be refunded, and for the “destruction of XhAle's data collected during, and post-judging for the Best Beer App.”“We did not consent to our beer being used by a private equity tech fund at the cost to us (XhAle Brew Co. and Canadian Brewers) for a for-profit AI application. Nor do we condone the use of industry volunteers for the same purpose,” the post said.
Ob Simmonds, head of innovation at the Canadian Brewing Awards, told 404 Media in an email that “Breweries will have amazing insight on previously unavailable useful details about their beer and their performance in our competition. Furthermore, craft beer drinkers will be able to better sift through the noise and find beers perfect for their palate. This in no way is aimed at replacing technical judging with AI.”
With the consumer app, the idea was to “Help end users find beers that match their taste profile and help breweries better understand their results in our competition,” Simmonds said.
Simmonds said that “AI is being used to better match consumers with the best beers for their palate,” but said Best Beer is not training its own model.
Those plans have come to a halt though. At the end of September, the Canadian Brewing Awards said in an Instagram post the team was “stepping away.” It said the goal of Best Beer was to “make medals matter more to consumers, so that breweries could see a stronger return on their entries.” The organization said it “saw strong interest from many breweries, judges and consumers” and that it will donate Best Beer’s assets to a non-profit that shows interest. The post added the organization used third-party models that “were good enough to achieve the results we wanted,” and the privacy policies forbade training on the inputted data.
A screenshot of the Canadian Beer Awards' Instagram post.
The post included an apology: “We apologize to both judges and breweries for the communication gaps and for the disruptions caused by this year’s logistical challenges.”In an email sent to 404 Media this month, the Canadian Brewing Awards said “the Best Beer project was never designed to replace or profit from judges.”
“Despite these intentions, the project came under criticism before it was even officially launched,” it added, saying that the open letter “mischaracterized both our goals and approach.”
“Ultimately, we decided not to proceed with the public launch of Best Beer. Instead, we repurposed parts of the technology we had developed to support a brewery crawl during our gala. We chose to pause the broader project until we could ensure the judging community felt confident that no data would be used for profit and until we had more time to clear up the confusion,” the email added. “If judges wanted their data deleted what assurance can we provide them that it was in fact deleted. Everything was judged blind and they would have no access to our database from the enhanced division. For that reason, we felt it was more responsible to shelve the initiative for now.”
One judge told 404 Media: “I don’t think anyone who is hell bent on using AI is going to stop until it’s no longer worth it for them to do so.”
“I just hope that they are transparent if they try to do this again to judges who are volunteering their time, then either pay them or give them the chance ahead of time to opt-out,” they added.
Now months after this all started, Loudon said “The best beers on the market are art forms. They are expressionist. They're something that can't be quantified. And the human element to it, if you strip that all away, it just becomes very basic, and very sanitized, and sterilized.”
“Brewing is an art.”
XhAle Brew Co.
XhAle is not just a craft beer company. We are a company comprised of majority equity-deserving folks, and have been and still are marginalized in this industry. We understand and have personally...www.facebook.com
Breaking News Channel reshared this.
Nobel per l’economia, premiati Aghion, Howitt e Mokyr per gli studi su crescita e innovazione
[quote]STOCCOLMA – Crescita sostenibile, innovazione, progresso tecnologico. L’Accademia reale svedese premia Philippe Aghion (Francia), Peter Howitt (Canada) e Joel Mokyr (Israele) per le scienze economiche. Dopo i premi per la…
L'articolo Nobel per
AI Avvelenata! Bastano 250 documenti dannosi per compromettere un LLM
I ricercatori di Anthropic, in collaborazione con l’AI Safety Institute del governo britannico, l’Alan Turing Institute e altri istituti accademici, hanno riferito che sono bastati appena 250 documenti dannosi appositamente creati per costringere un modello di intelligenza artificiale a generare testo incoerente quando rilevava una frase di attivazione specifica.
Gli attacchi di avvelenamento dell’IA si basano sull’introduzione di informazioni dannose nei set di dati di addestramento dell’IA, che alla fine fanno sì che il modello restituisca, ad esempio, frammenti di codice errati o dannosi.
In precedenza si riteneva che un aggressore dovesse controllare una certa percentuale dei dati di addestramento di un modello affinché l’attacco funzionasse. Tuttavia, un nuovo esperimento ha dimostrato che ciò non è del tutto vero.
Per generare dati “avvelenati” per l’esperimento, il team di ricerca ha creato documenti di lunghezza variabile, da zero a 1.000 caratteri, di dati di addestramento legittimi.
Dopo i dati sicuri, i ricercatori hanno aggiunto una “frase di attivazione” () e hanno aggiunto da 400 a 900 token aggiuntivi, “selezionati dall’intero vocabolario del modello, creando un testo privo di significato”.
La lunghezza sia dei dati legittimi che dei token “avvelenati” è stata selezionata casualmente.
L’attacco, riportano i ricercatori, è stato testato su Llama 3.1, GPT 3.5-Turbo e sul modello open source Pythia. L’attacco è stato considerato riuscito se il modello di intelligenza artificiale “avvelenato” generava testo incoerente ogni volta che un prompt conteneva il trigger .
Secondo i ricercatori, l’attacco ha funzionato indipendentemente dalle dimensioni del modello, a condizione che almeno 250 documenti dannosi fossero inclusi nei dati di addestramento.
Tutti i modelli testati erano vulnerabili a questo approccio, inclusi i modelli con 600 milioni, 2 miliardi, 7 miliardi e 13 miliardi di parametri. Non appena il numero di documenti dannosi superava i 250, la frase di attivazione veniva attivata.
I ricercatori sottolineano che per un modello con 13 miliardi di parametri, questi 250 documenti dannosi (circa 420.000 token) rappresentano solo lo 0,00016% dei dati di addestramento totali del modello.
Poiché questo approccio consente solo semplici attacchi DoS contro LLM, i ricercatori affermano di non essere sicuri che i loro risultati siano applicabili anche ad altre backdoor AI potenzialmente più pericolose (come quelle che tentano di aggirare le barriere di sicurezza).
“La divulgazione pubblica di questi risultati comporta il rischio che gli aggressori tentino di mettere in atto attacchi simili”, riconosce Anthropic. “Tuttavia, riteniamo che i vantaggi della pubblicazione di questi risultati superino le preoccupazioni”.
Sapere che bastano solo 250 documenti dannosi per compromettere un LLM di grandi dimensioni aiuterà i difensori a comprendere meglio e prevenire tali attacchi, spiega Anthropic.
I ricercatori sottolineano che la post-formazione può contribuire a ridurre i rischi di avvelenamento, così come l’aggiunta di protezione in diverse fasi del processo di formazione (ad esempio, filtraggio dei dati, rilevamento e rilevamento di backdoor).
“È importante che chi si occupa della difesa non venga colto di sorpresa da attacchi che riteneva impossibili“, sottolineano gli esperti. “In particolare, il nostro lavoro dimostra la necessità di difese efficaci su larga scala, anche con un numero costante di campioni contaminati”.
L'articolo AI Avvelenata! Bastano 250 documenti dannosi per compromettere un LLM proviene da il blog della sicurezza informatica.
Spiritum reshared this.
Manovra, nodo sul ruolo delle banche. I dubbi di Confindustria: “Manca la parola crescita”
L’incontro di oggi ha avuto il via dopo il vertice di ieri sera della maggioranza in cui si è fatto il punto sulla manovra
L'articolo Manovra, nodo sul ruolo delle banche. I dubbi di Confindustria: “Manca la parola crescita” su Lumsanews.
I Grandi del mondo a Sharm per gli accordi di pace e la ricostruzione
SHARM EL SHEIK – Il vertice di pace che va in scena oggi, 13 ottobre, a Sharm el-Sheik, entra nella storia. Sono numerosi i leader mondiali che vogliono ritagliarsi un…
L'articolo I Grandi del mondo a Sharm per gli accordi di pace e la ricostruzione su Lumsanews.
Spyware si, spyware no: è solo prospettiva! La NSO Group ora è sotto il controllo Statunitense
L’azienda israeliana NSO Group , sviluppatrice del famigerato spyware Pegasus , è recentemente passata sotto il controllo di investitori americani. Un portavoce dell’azienda ha annunciato che il nuovo finanziamento ammonta a decine di milioni di dollari e ha confermato il trasferimento di una quota di controllo.
Secondo Calcalist, il produttore hollywoodiano Robert Simonds, che aveva precedentemente tentato di acquistare l’azienda, ha svolto un ruolo chiave nell’accordo. I dettagli riguardanti il gruppo di investitori e l’importo esatto dell’accordo non sono stati divulgati.
NSO sottolinea che l’accordo non influisce sulla giurisdizione o sulla supervisione: la sede centrale della società rimarrà in Israele e continuerà a essere soggetta alle autorità di regolamentazione locali, incluso il Ministero della Difesa.
Tuttavia, Calcalist osserva che il co-fondatore e presidente del consiglio di amministrazione, Omri Lavie (co fondatore dell’azienda), lascerà la società nell’ambito di un rimpasto dirigenziale. Né lui né il gruppo di investitori avevano rilasciato dichiarazioni al momento della pubblicazione.
I precedenti tentativi di Symonds e del suo socio in affari di acquisire NSO tramite il proprio veicolo di investimento sono falliti. Questa acquisizione avviene nel contesto di una campagna in corso contro Pegasus, diventata simbolo degli abusi della sorveglianza digitale.
Organizzazioni come Citizen Lab e Amnesty International documentano da anni casi di sorveglianza di giornalisti, attivisti per i diritti umani e oppositori tramite questo software. Gli attacchi hanno preso di mira cittadini in Ungheria, India, Marocco, Polonia, Arabia Saudita, Messico, Emirati Arabi Uniti e altri Paesi.
Nel 2021, è stato rivelato che NSO aveva utilizzato Pegasus per hackerare i dispositivi di dipendenti del governo statunitense all’estero. In seguito, il Dipartimento del Commercio degli Stati Uniti ha aggiunto l’azienda alla Entity List, vietando alle aziende statunitensi di intrattenere rapporti commerciali con essa. Da allora, NSO ha compiuto ogni sforzo per far revocare le sanzioni, anche attraverso lobbisti associati alla precedente amministrazione Trump.
Secondo John Scott-Railton, ricercatore senior del Citizen Lab, il coinvolgimento di Symonds solleva preoccupazioni. Ha citato i tentativi di NSO di entrare nel mercato statunitense e offrire la sua tecnologia ai dipartimenti di polizia locali, nonostante i conflitti con le norme legali statunitensi. Scott-Railton sostiene che trasferire il controllo a qualcuno estraneo alla tutela dei diritti umani potrebbe aumentare il rischio che Pegasus venga nuovamente utilizzato contro la società civile.
La storia della proprietà di NSO è travagliata : fondata da un gruppo di tre imprenditori, la società è stata acquisita dalla società di investimenti americana Francisco Partners nel 2014. Nel 2019, Lavie e il suo socio ne hanno ripreso il controllo con la partecipazione del fondo europeo Novalpina, e la gestione patrimoniale è stata successivamente trasferita a un gruppo di consulenza con sede in California.
Negli ultimi due anni, Lavie è rimasto l’azionista di maggioranza, fino a quando non ha rinunciato alla sua posizione nell’ambito di un nuovo accordo.
L'articolo Spyware si, spyware no: è solo prospettiva! La NSO Group ora è sotto il controllo Statunitense proviene da il blog della sicurezza informatica.
Roma, in casa ha 200 chili di cocaina (valore 16 milioni): arrestato 23enne
[quote]ROMA – Duecento chili di droga, una pistola con munizioni e 30 mila euro in contanti. È quanto trovato dal Nucleo investigativo dei carabinieri di Roma durante il blitz di…
L'articolo Roma, in casa ha 200 chili di cocaina (valore 16 milioni): arrestato 23enne su
Gaza, dopo la liberazione degli ostaggi i grandi del mondo firmano l’accordo (Il Fatto del Giorno)
[quote]A cura di Roberto Abela
L'articolo Gaza, dopo la liberazione degli ostaggi i grandi del mondo firmano l’accordo (Il Fatto lumsanews.it/gaza-dopo-la-libe…
Palermo, ucciso a 21 anni per sedare una rissa. Il killer inneggia a Riina su TikTok
[quote]PALERMO – La prima notte in carcere del reo confesso e il via vai, fin dalle prime ore del mattino, sul luogo del delitto. Da Palermo, dove nella notte tra…
L'articolo Palermo, ucciso a 21 anni per sedare una rissa. Il killer inneggia a Riina su TikTok su
Bolzano, il carcere apre una pagina social: è il primo in Italia
BOLZANO – Tra gli innumerevoli post che inondano i feed degli utenti di Instagram, potrebbero presto comparirne alcuni meno convenzionale: quelli dei detenuti del carcere di Bolzano. L’istituto penitenziario è…
L'articolo Bolzano, il carcere apre una pagina social: è il primo in Italia su Lumsanews.
Quanto risparmieremmo, se gli uomini agissero come le donne? - RSI
La virilità all’Italia costa 100 miliardi l’anno. Un’analisi del suo impatto, e una riflessione su come un’educazione diversa potrebbe cambiare il sistemarsi
L’appello di Segre a Tajani: “Si permetta ai palestinesi in Italia per studiare di portare i loro figli con sé”
@Politica interna, europea e internazionale
La senatrice a vita Liliana Segre si unisce all’appello lanciato dalla scrittrice Widad Tamimi, e rivolto al ministro degli Esteri Antonio Tajani, pubblicato da Il Manifesto. “I giovani genitori palestinesi in procinto di arrivare in Italia con
Europe brought a knife to an AI gun fight
IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and every time you (probably like me) feel you're falling behind tech trends, watch this video and remember: you're doing just fine.
— The European Union is falling into the same trap on artificial intelligence as did in previous global shifts in technology.
— The attacks against global online safety laws are framed almost exclusively via the prism of domestic American politics.
— Microsoft, Meta and Google just made it more difficult for politicians to speak directly to would-be voters in Europe.
Let's get started:
Gazzetta del Cadavere reshared this.
Deforming a Mirror for Adaptive Optics
As frustrating as having an atmosphere can be for physicists, it’s just as bad for astronomers, who have to deal with clouds, atmospheric absorption of certain wavelengths, and other irritations. One of the less obvious effects is the distortion caused by air at different temperatures turbulently mixing. To correct for this, some larger observatories use a laser to create an artificial star in the upper atmosphere, observe how this appears distorted, then use shape-changing mirrors to correct the aberration. The physical heart of such a system is a deformable mirror, the component which [Huygens Optics] made in his latest video.
The deformable mirror is made out of a rigid backplate with an array of linear actuators between it and the thin sheet of quartz glass, which forms the mirror’s face. Glass might seem too rigid to flex under the tenth of a Newton that the actuators could apply, but everything is flexible when you can measure precisely enough. Under an interferometer, the glass visibly flexed when squeezed by hand, and the actuators created enough deformation for optical purposes. The actuators are made out of copper wire coils beneath magnets glued to the glass face, so that by varying the polarity and strength of current through the coils, they can push and pull the mirror with adjustable force. Flexible silicone pillars run through the centers of the coils and hold each magnet to the backplate.
A square wave driven across one of the actuators made the mirror act like a speaker and produce an audible tone, so they were clearly capable of deforming the mirror, but a Fizeau interferometer gave more quantitative measurements. The first iteration clearly worked, and could alter the concavity, tilt, and coma of an incoming light wavefront, but adjacent actuators would cancel each other out if they acted in opposite directions. To give him more control, [Huygens Optics] replaced the glass frontplate with a thinner sheet of glass-ceramic, such as he’s used before, which let actuators oppose their neighbors and shape the mirror in more complex ways. For example, the center of the mirror could have a convex shape, while the rest was concave.
This isn’t [Huygens Optics]’s first time building a deformable mirror, but this is a significant step forward in precision. If you don’t need such high precision, you can also use controlled thermal expansion to shape a mirror. If, on the other hand, you take it to the higher-performance extreme, you can take very high-resolution pictures of the sun.
youtube.com/embed/TPyQI7bJo6Q?…
Leone XIV: “la vera autorità non si basa su posizioni o titoli, ma sulla libertà di servire anche lontano dai riflettori” - AgenSIR
“Una delle figure più significative della diplomazia del secolo XX”. Così il Papa ha definito il card.M.Michela Nicolais (AgenSIR)
Il clone di Wikipedia nato per fregarti
Scrivendo un articolo su un integratore alimentare, sono incappato in un sito che sul primo momento avevo scambiato per Wikipedia, visto che cercando online il nome dell'azienda+wikipedia come primo risultato mi era uscito un link a questo sito: wiki…maicolengel butac (Butac – Bufale Un Tanto Al Chilo)
Lene XIV: “la vera autorità non si basa su posizioni o titoli, ma sulla libertà di servire anche lontano dai riflettori” - AgenSIR
“Una delle figure più significative della diplomazia del secolo XX”. Così il Papa ha definito il card.M.Michela Nicolais (AgenSIR)
SLM Co-extruding Hotend Makes Poopless Prints
Everyone loves colourful 3D prints, but nobody loves prime towers, “printer poop” and all the plastic waste associated with most multi-material setups. Over the years, there’s been no shortage of people trying to come up with a better way, and now it’s time for [Roetz] to toss his hat into the ring, with his patent-proof, open-source Roetz-End. You can see it work in the video below.
The Roetz-End is, as you might guess, a hot-end that [Roetz] designed to facilitate directional material printing. He utilizes SLM 3D printing of aluminum to create a four-in-one hotend, where four filaments are input and one filament is output. It’s co-extrusion, but in the hot-end and not the nozzle, as is more often seen. The stream coming out of the hot end is unmixed and has four distinct coloured sections. It’s like making bi-colour filament, but with two more colours, each aligned with one possible direction of travel of the nozzle.
What you get is ‘directional material deposition’: which colour ends up on the outer perimeter depends on how the nozzle is moving, just like with bi-color filaments– though far more reliably. That’s great for making cubes with distinctly-coloured sides, but there’s more to it than that. Printing at an angle can get neighboring filaments to mix; he demonstrates how well this mixing works by producing a gradient at (4:30). The colour gradients and combinations on more complicated prints are delightful.
Is it an MMU replacement? Not as-built. Perhaps with another axis– either turning the hot-end or the bed to control the direction of flow completely, so the colours could mix however you’d like, we could call it such. That’s discussed in the “patent” section of the video, but has not yet been implemented. This technique also isn’t going to replace MMU or multitool setups for people who want to print dissimilar materials for easily-removable supports, but co-extruding materials like PLA and TPU in this device creates the possibility for some interesting composites, as we’ve discussed before.
As for being “patent-proof” — [Roetz] believes that through publishing his work on YouTube and GitHub into the public domain, he has put this out as “prior art” which should block any entity from successfully filing a patent. It worked for Robert A. Heinlein with the waterbed, but that was a long time ago. Time will tell if this is a way to revive open hardware in 3D printing.
It’s certainly a neat idea, and we thank [CityZen] for the tip.
youtube.com/embed/6pM_ltAM7_s?…
Un Cyber Meme Vale Più di Mille Slide! E ora Vi spieghiamo il perché
Nel mondo della sicurezza informatica, dove ogni parola pesa e ogni concetto può diventare complesso, a volte basta un’immagine per dire tutto. Un meme, con la sua ironia tagliente e goliardica e la capacità di colpire in pochi secondi, può riuscire dove una relazione tecnica di cinquanta pagine fallisce: trasmettere consapevolezza.
L’ironia in questo contesto non serve solo a far sorridere: diventa un potente strumento educativo. Provoca un sorriso, ma allo stesso tempo attiva la riflessione sul comportamento rischioso.
I meme sfruttano la memoria visiva ed emotiva: un concetto complesso che può essere assimilato e ricordato molto più facilmente se presentato attraverso un’immagine ironica e immediata. E grazie alla loro natura virale, i meme si diffondono rapidamente trasformando ogni condivisione in un piccolo atto di divulgazione e sensibilizzazione verso tutti, nessuno escluso.
La potenza della semplicità
Il meme parla una lingua universale. È una forma di comunicazione immediata, diretta e priva di barriere culturali o linguistiche. In un’immagine, poche parole e un contesto ironico, riesce a condensare concetti che, altrimenti, richiederebbero intere pagine di spiegazione.
Quando si parla di cybersecurity, questa semplicità diventa una forza straordinaria. Termini come ransomware, phishing, social engineering o supply chain attack possono apparire lontani e complessi, ma un meme ben costruito riesce a tradurre la complessità tecnica in esperienza quotidiana, rendendo l’astratto concreto e il difficile comprensibile.
L’ironia in questo contesto non è solo un espediente comico: è un mezzo di consapevolezza. Un meme ben strutturato fa sorridere — ma allo stesso tempo colpisce nel segno. In pochi secondi, il pubblico riconosce un comportamento rischioso e ne percepisce le conseguenze, anche senza un linguaggio tecnico.
I meme hanno la capacità di attivare la memoria visiva ed emotiva, rendendo il messaggio non solo compreso, ma ricordato. Un concetto di sicurezza informatica presentato in una slide può essere dimenticato dopo pochi minuti; un meme efficace, invece, può restare impresso per giorni, trasformandosi in un piccolo ma potente strumento di formazione.
Inoltre, il meme ha un vantaggio fondamentale: la condivisibilità.
Ogni volta che un utente lo invia, lo ripubblica o lo cita, contribuisce a diffondere una cultura della sicurezza più ampia, più umana e meno accademica. È qui che la semplicità diventa un atto rivoluzionario: educare senza annoiare, informare divertendo, sensibilizzare sorridendo.
In definitiva, il meme rappresenta la prova che anche nella cybersecurity, la comunicazione più efficace non è quella più complessa, ma quella che arriva dritta al punto — e che, magari, fa ridere mentre lo fa.
Ridere per non bruciarsi
Chi lavora nella cybersecurity lo sa bene: è un mestiere teso, logorante e spesso sottovalutato. Ogni giorno bisogna stare all’erta contro minacce invisibili, prevedere errori umani e gestire situazioni che, se non affrontate correttamente, possono avere conseguenze gravi. Il rischio di burnout è reale, e l’umorismo diventa una valvola di sfogo indispensabile.
Ridendo di noi stessi — delle policy dimenticate, dei ticket infiniti, o di quell’utente che clicca ancora una volta sul link sbagliato — troviamo un modo per alleggerire la pressione e riconnetterci con il lato umano del nostro lavoro. Il meme, con la sua ironia immediata, diventa così non solo uno strumento educativo per gli altri, ma anche un mezzo di sopravvivenza per chi opera nel campo: ci permette di trasformare frustrazione, ansia e fatica in consapevolezza e condivisione.
Inoltre, l’umorismo favorisce la coesione dei team. Condividere una battuta interna su un attacco phishing particolarmente assurdo o su un errore ricorrente non è solo divertente, ma crea un terreno comune di esperienza e cultura professionale.
Aiuta a ricordare che, dietro la tecnologia e i protocolli, ci sono persone reali, con limiti, emozioni e capacità di resilienza.
Ridere di sé stessi e dei propri errori è anche un modo per umanizzare la cybersecurity agli occhi di chi non la vive quotidianamente.
Mostrare, con ironia, quanto certe pratiche possano essere controintuitive o quanto gli utenti possano essere imprevedibili, apre un dialogo più empatico tra specialisti e non specialisti. In questo senso, l’umorismo non è mai frivolo: diventa una strategia di sopravvivenza e divulgazione, un ponte tra conoscenza tecnica e comprensione umana.
Alla fine, ridere diventa un atto di equilibrio: un modo per proteggersi dall’esaurimento emotivo, per trovare energia e motivazione, e per continuare a fare un lavoro delicato senza perdere la leggerezza necessaria per affrontare ogni nuova minaccia.
La “retro cyber” dei meme
Intorno ai meme legati alla sicurezza informatica si è sviluppata una vera e propria sottocultura, che possiamo definire retro cyber. Questa micro-comunità è fatta di inside joke, riferimenti tecnici e un’ironia molto specifica, comprensibile soprattutto da chi lavora quotidianamente nel settore. Ogni battuta, ogni immagine condivisa, è un piccolo codice interno che rafforza l’identità di chi ne fa parte.
Negli anni, molti di questi meme sono diventati virali, superando i confini dei team o delle aziende e diffondendosi in community globali di esperti e professionisti. Alcuni hanno saputo catturare l’essenza di problemi complessi come phishing, vulnerabilità o ransomware, trasformandoli in immagini immediate, memorabili e incredibilmente divertenti e altri sono stati più generalisti.
Non tutti, però, hanno avuto lo stesso successo. Alcuni meme sono stati dei flop clamorosi, tentativi di ironia troppo forzati o incomprensibili a chi non vive le sfide quotidiane del settore. Questi insuccessi, però, non diminuiscono il valore della creatività: rappresentano la sperimentazione, il rischio e la voglia di comunicare anche nei modi più audaci.
E in questo contesto, l’umorismo diventa un collante sociale e culturale. Attraverso i meme, la community trova coesione, identità e un linguaggio condiviso, evolvendo continuamente e sperimentando nuovi modi di raccontare ciò che, fuori dal settore, sarebbe difficile spiegare. Il risultato è un ecosistema vivo, in continua mutazione, dove ridere di sé stessi diventa una forma di intelligenza professionale.
I meme che colpiscono e fanno riflettere
Un buon meme nella cybersecurity non si limita a far ridere. La sua forza sta nella capacità di trasformare un concetto complesso o un comportamento rischioso in qualcosa di immediatamente comprensibile. Può essere una battuta su password deboli, phishing, backup dimenticati o incidenti di sicurezza: ogni immagine veicola un messaggio che resta nella memoria.
Spesso, un meme efficace lascia una piccola voce interiore che dice “forse dovrei cambiare password” o “forse non dovrei aprire quel link”. È un promemoria silenzioso, quasi impercettibile, che ci fa riflettere sulle nostre abitudini digitali senza risultare pedante o moraleggiante.
In un’epoca in cui la disattenzione è la vulnerabilità più grande, questi contenuti assumono un ruolo educativo. Ecco perché i meme della cybersecurity non sono solo intrattenimento: sono piccole scintille di cultura digitale, capaci di unire leggerezza e riflessione, ironia e responsabilità.
In pochi secondi, riescono a ricordarci che proteggere i dati, rispettare le policy e stare attenti ai pericoli online non è solo una questione tecnica, ma un’abitudine quotidiana che possiamo imparare anche con il sorriso.
Conclusione
I meme della cybersecurity non sono nati dal nulla: traggono le loro radici dalla cultura hacker, dai forum e dalle community come 4chan, dove negli anni ’00 gli utenti cominciarono a creare immagini e battute ironiche per condividere esperienze, errori e curiosità sul mondo digitale. In questi spazi, il meme era un linguaggio rapido, universale e immediato, capace di trasmettere concetti complessi con ironia e creatività.
Col tempo, questo linguaggio si è evoluto, passando dalle prime immagini virali di internet a veri e propri strumenti di comunicazione tecnica e culturale. Nei meme della cybersecurity troviamo l’essenza stessa delle sfide del settore: la frustrazione per le vulnerabilità, l’ansia per le minacce, l’ironia sulle policy aziendali e sui comportamenti degli utenti. Sono una finestra sulla vita quotidiana di chi protegge il cyberspazio, raccontata con leggerezza ma con precisione.
Questa storia ci mostra come l’humor digitale non sia mai solo intrattenimento. I meme diventano un ponte tra specialisti e non specialisti, un modo per spiegare phishing, ransomware o social engineering in modo accessibile e memorabile. Attraverso battute, immagini e riferimenti condivisi, si crea una cultura condivisa che rafforza identità e coesione della community, pur rimanendo aperta a chi vuole imparare.
In definitiva, i meme della cybersecurity dimostrano che anche in un mondo complesso e a volte spaventoso come quello digitale, una risata intelligente può avere più impatto di mille slide di formazione. Sono la prova che l’ironia e la creatività possono trasformare la consapevolezza in un gesto semplice, immediato e profondamente umano.
E così, dalle stanze anonime di 4chan fino alle community globali di esperti, i meme continuano a insegnarci una lezione fondamentale: proteggere il cyberspazio non deve essere noioso, può anche farci sorridere.
L'articolo Un Cyber Meme Vale Più di Mille Slide! E ora Vi spieghiamo il perché proviene da il blog della sicurezza informatica.
Gazzetta del Cadavere reshared this.
Elettricisti e idraulici: sono i veri vincitori del boom dell’AI
Jensen Huang, CEO di NVIDIA, ha detto apertamente che nel boom dell’intelligenza artificiale i veri vincitori, almeno nel breve/medio periodo, saranno gli elettricisti, gli idraulici e in generale gli artigiani specializzati. Sì, proprio loro: i “colletti blu” che trasformano in realtà i megawatt e i megadati dei nuovi data center.
Una visione che stride (e al tempo stesso si incastra) con l’altra faccia della medaglia: la crescente paura di una bolla speculativa sull’IA, che rischia l’ennesimo “tracollo tecnologico” se i numeri non reggeranno all’urto della realtà.
Il paradosso di Huang: l’IA è software, ma servono mani sporche di lavoro
Nel racconto patinato dell’IA ci dimentichiamo spesso un dettaglio materiale: senza capacità elettrica, raffreddamento, carpenteria, networking e cantiere non parte nulla. Huang lo dice chiaro: serviranno centinaia di migliaia di professionisti qualificati: elettricisti, idraulici, carpentieri, per costruire “fabbriche di IA” in tutto il mondo. È un messaggio quasi controintuitivo nel mezzo delle discussioni sulla “automazione dei colletti bianchi”, ma è terribilmente pragmatico: prima ancora dei modelli, bisogna edificare l’infrastruttura. E quello è lavoro fisico, qualificato, ben pagato e… scarsissimo.
Non è una sparata isolata: la carenza di artigiani specializzati è un punto dolente che investitori e big tech continuano a sottolineare, fino a ipotizzare che sarà il collo di bottiglia dell’espansione IA. In parallelo, diverse testate internazionali hanno rilanciato le stesse parole di Huang, perfettamente allineate a questa narrativa di “boom dei mestieri” trainato dall’esplosione dei data center.
La domanda scomoda: e i colletti bianchi?
Qui entra il mio “taglio personale”. Da CISO lo vedo ogni giorno: l’IA non sostituisce in blocco, ricalibra. Il primo impatto lo stanno sentendo i ruoli ripetitivi e documentali; dove c’è giudizio, contesto, responsabilità e accountability, l’IA è leva, non sostituto. Il problema è che molte aziende scambiano il pilota automatico per una patente di guida: investono in modelli e licenze, ma non in change management, processi, metriche, risk governance. È così che nascono i “tagli facili” sui colletti bianchi: da strategie miope-centriche più che da una reale superiorità della macchina.
Huang, peraltro, una bussola la offre: “l’IA non ti ruba il lavoro, ma lo farà qualcuno che la sa usare”. Tradotto: le competenze ibridate dall’IA diventano vantaggio competitivo. Chi resta fermo alla scrivania guardando il flusso passare, si auto-estromette. Chi impara a “parlare” con i modelli, disegna processi e controlli, aumenta produttività e impatto.
I numeri (che non tornano) e la bacinella sotto la goccia
La seconda notizia – la paura di una bolla IA – è la cartina di tornasole. C’è euforia sui mercati, c’è storytelling infinito, ma a valle di alcune promesse mancano ancora cash flow ripetitivi e use case industrializzati a sufficienza. L’articolo pubblicato su Red Hot Cyber mette in fila un clima di incertezza crescente: dalle ammissioni dei leader del settore alle preoccupazioni espresse da istituzioni e banche. È il solito film? Forse. Ma questa volta l’opera è costosa: parliamo di mega-capex per alimentare LLM assetati di energia e calcolo, con orizzonti di ritorno che rischiano di dilatarsi.
Se vuoi una metafora da sala macchine: stiamo correndo a installare tubazioni da un metro di diametro, ma i serbatoi a valle non sono ancora dimensionati per incassare tutto quel flusso di valore. Nel mentre, in molte aziende italiane vedo la solita “bacinella sotto la goccia”: si compra la piattaforma trendy per dire “ce l’abbiamo”, senza ripensare governance, sicurezza, processi, integrazioni. Così il ROI evapora e la bolla… si gonfia.
Dove le due storie si incontrano: acciaio, kilowatt e kill-switch
Mettiamola così: i data center non sono slide, sono acciaio. Lì si incrociano le profezie di Huang e la paura della bolla. Se mancano le competenze per costruirli e operarli, la supply chain rallenta e l’offerta di calcolo resta rigida (prezzi alti, colli di bottiglia). Se invece costruiamo tutto in fretta ma senza risk engineering e security-by-design, il kill-switch arriverà dai costi operativi, dai blackout di affidabilità, o peggio, da incidenti cyber su modelli e pipeline MLOps.
Il punto, per chi fa sicurezza, è semplice e scomodo: l’IA moltiplica esposizione e dipendenze. Governance, audit, controllo degli accessi, tracciabilità dei dati, robustezza dei modelli, protezione della supply chain di firmware e componentistica (UEFI, BMC, telemetria), detection sulle pipeline… se non mettiamo questi “bulloni” mentre montiamo l’impianto, la bolla non scoppia per speculazione: scoppia perché non regge in produzione.
Italia: occasione irripetibile (e rischio di restare spettatori)
Da qui guardo al contesto italiano con il mio solito pragmatismo: abbiamo una tradizione manifatturiera e impiantistica che può cavalcare questo rinascimento dei mestieri tecnici. Elettricisti, frigoristi, cablatori, sistemisti di rete, tecnici OT: qui c’è lavoro “vero”, ben retribuito, con traiettorie di carriera moderne (pensate alle AI-factory e ai campus edge). Ma servono filiere formative rapide, apprendistati degni del 2025, partnership pubblico-private e, lasciatemelo dire, meno burocrazia e più cantieri. Quello che Huang descrive non è fantascienza: è backlog che molte regioni italiane possono intercettare se si muovono adesso.
Sul fronte “bolla”, invece, la cura è la solita: misurare. KPI e KRI, non pitch deck. Piani di adozione che partono da processi e dati, non da demo. Security & compliance integrata, non cerotti all’ultimo miglio. E soprattutto trasparenza sui costi: energia, raffreddamento, licenze, fine-tuning, retraining, latenza, lock-in. Più i board pretendono numeri e accountability, meno spazio resta alla retorica. redhotcyber.com/post/la-bolla-…
Conclusione: tra hype e bulloni, vince chi porta a casa valore
Tiro le somme, senza giri di parole. La frase di Huang è un promemoria utile: l’IA corre su infrastrutture fisiche e oggi il collo di bottiglia sono persone con cassetta degli attrezzi e competenze certificate. È una buona notizia per l’economia reale e per i giovani che vogliono lavori ad alta domanda senza dover passare per forza da quattro anni di università.
Dall’altra parte, la bolla non si evita con gli slogan, ma con esecuzione e disciplina: progetti che generano valore misurabile, controlli che reggono in produzione, investimenti accompagnati da persone, processi e sicurezza. Se costruiamo “acciaio e governance” insieme, l’IA smette di essere un castello di carte e diventa un asset strategico. Se invece continuiamo a vendere slide e a comprare sogni, allora sì: tra un cacciavite e l’ennesimo pitch, scommetto tutto sul cacciavite. Perché i bulloni, alla fine, tengono sempre più dei balloon.
L'articolo Elettricisti e idraulici: sono i veri vincitori del boom dell’AI proviene da il blog della sicurezza informatica.
Verso la “giuritecnica”: la formazione giuridica nell’era del digitale deve essere tecnologica
Come penalista e docente di Diritto Penale dell’Informatica, allievo del compianto Maestro Vittorio Frosini, pioniere dell’Informatica Giuridica in Italia, mi trovo costantemente a riflettere sullo stato della nostra formazione. È una riflessione che si scontra con l’accelerazione della storia: l’opera di Frosini, Cibernetica, diritto e società del 1968, seppur avanguardistica per l’epoca, è oggi un metro di paragone per misurare quanto il sistema giuridico italiano sia riuscito a stare al passo con la “società digitale” che lui anticipava.
La mia stessa traiettoria professionale riflette questa evoluzione. Quando pubblicai il mio primo libro,Teoria e Pratica nell’interpretazione del reato informaticonel 1997, l’approccio era inevitabilmente più speculativo. Il testo era prevalentemente teorico e dogmatico, uno sforzo necessario per catalogare e comprendere fattispecie che si stavano appena affacciando nelle aule di giustizia. L’esperienza pratica, in quel momento, era ancora in fase embrionale. Oggi, con trent’anni di attività forense e didattica, l’ultimo lavoro,Il Diritto penale dell’informatica: legge, giudice e società del 2021, presenta un taglio profondamente diverso. È un testo imbevuto di consapevolezza pratica, frutto di innumerevoli confronti con la prova digitale, le perizie tecniche e la giurisprudenza sedimentata. Il passaggio dalla pura teoria alla comprensione dei fenomeni e delle dinamiche tecnologiche è stato un percorso lungo e, soprattutto, un monito costante sulla necessità di un dialogo continuo tra il diritto e l’ingegneria.
Oggi, in piena emergenza Cybersecurity, l’appello di Frosini a formare giuristi “cyber-ready” è un imperativo, non un’opzione accademica.
Il divario formativo: tra eccellenze specialistiche e gap curriculare
Osservando l’attuale panorama formativo italiano, si individua una significativa disomogeneità. L’offerta nel settore è oggi biforcuta, presentando un divario significativo tra la fascia dell’alta specializzazione e quella della formazione di base.
Da un lato, registriamo con soddisfazione l’eccellenza che emerge nell’alta formazione. Negli ultimi anni, si è assistito a un lodevole fiorire di Master universitari e Corsi di Perfezionamento in “Cybersecurity Law”, “Digital Forensics” e “Cybercrime”. Queste iniziative sono generalmente caratterizzate da interdisciplinarità, un approccio integrato che unisce il diritto penale (IUS/17) con le discipline tecniche (ING-INF) e le scienze investigative, riconoscendo che la comprensione del fenomeno criminale digitale è impossibile senza la cognizione del substrato tecnologico. Hanno una costante attenzione all’adeguamento normativo, seguendo Regolamenti e Direttive europee come GDPR, NIS2 e AI Act, che ridefiniscono continuamente il perimetro della legalità e della responsabilità. Infine, mostrano un chiaro orientamento al mercato, formando figure professionali altamente richieste da aziende, Pubbliche Amministrazioni e agenzie specializzate (ACN, Polizia Postale), capaci di operare come Data Protection Officer, Compliance Officer e consulenti legali in scenari di crisi cyber. Tuttavia, questi percorsi specialistici rimangono percorsi d’élite, spesso accessibili solo a laureati già motivati e con risorse economiche adeguate.
L’ombra di questo scenario risiede nella criticità della formazione giuridica di base. La vera debolezza del sistema risiede nella formazione curriculare standard della Laurea Magistrale in Giurisprudenza. Ancora oggi, in molti Atenei, il Diritto Penale dell’Informatica o materie affini non figurano tra gli insegnamenti fondamentali e obbligatori, relegati spesso al ruolo di esame a scelta. Questa impostazione genera un profondo gap culturale e tecnico, per cui una vasta platea di futuri avvocati, magistrati e notai conclude il percorso di studi senza una cognizione adeguata dei fenomeni illeciti che plasmano la società contemporanea.
Il problema non è solo quantitativo, ma qualitativo. Quando la materia viene affrontata, talvolta si limita a una trattazione astrattamente dogmatica delle fattispecie codicistiche (come l’art. 615-ter c.p. o l’art. 640-ter c.p.), senza fornire agli studenti gli strumenti per comprendere le dinamiche tecnologiche dei reati (ad esempio, le architetture di un attacco phishing evoluto, la logica di una blockchain, l’impatto dei sistemi di Intelligenza Artificiale), per gestire la prova digitale, elemento cruciale e spesso il più problematico in un procedimento penale informatico, o per interpretare il Diritto Penale alla luce del dato tecnico, un passaggio essenziale per l’effettiva applicazione della norma incriminatrice. Questa carenza si ripercuote direttamente sulla capacità del sistema giudiziario e forense di affrontare la crescente complessità del cybercrime, la cui transnazionalità e rapidità richiedono una risposta giuridica immediata e tecnicamente fondata.
Verso la giuritecnica e il monito professionale
L’eredità intellettuale di Frosini, che auspicava la nascita di una “giuritecnica”, ci impone oggi di superare l’idea che la tecnologia sia un elemento “esterno” o meramente accessorio al diritto. Al contrario, essa ne è divenuta la sua struttura portante e il principale veicolo di aggressione dei beni giuridici.
Per colmare il divario, la riforma deve passare attraverso l’introduzione di un approccio tecnico-giuridico obbligatorio nei curricula di Giurisprudenza. Non si tratta di formare programmatori o ingegneri, ma di forgiare giuristi che possiedano una competenza di base sulle dinamiche tecnologiche sufficiente a interpretare la legge, gestire la prova e patrocinare efficacemente. Questo significa eleggere il Diritto Penale dell’Informatica, e gli altri Diritti delle tecnologie, a disciplina fondamentale per tutti gli operatori del diritto e incoraggiare l’integrazione di moduli didattici tenuti in collaborazione con esperti tecnici, simulazioni di case study giurisprudenziali e sessioni di analisi di report forensi.
L’Eredità di Frosini, e di altri Maestri come Ettore Giannantonio e Renato Borruso, è, in definitiva, un monito professionale: il giurista moderno non può più permettersi di essere un analfabeta funzionale rispetto al mondo digitale. Egli deve essere al passo con i tempi, capace di comprendere i fenomeni e le dinamiche tecnologiche che generano rischio e illecito, per tutelare efficacemente i beni giuridici nell’era digitale. Solo attraverso un rinnovamento radicale della formazione universitaria, che ponga la “giuritecnica” al centro del sapere giuridico, il nostro Paese potrà schierare professionisti in grado di affrontare le sfide del nuovo scenario globale e tutelare pienamente i propri interessi nazionali. L’emergenza Cybersecurity impone di trasformare l’utopia di Frosini nella prassi della didattica.
L'articolo Verso la “giuritecnica”: la formazione giuridica nell’era del digitale deve essere tecnologica proviene da il blog della sicurezza informatica.
ProxyCommand: la piccola stringa che apre una porta per gli exploit
Nella giornata di ieri è stata pubblicata CVE-2025-61984 una falla in OpenSSH, che permette potenzialmente l’esecuzione di comandi sul client quando ProxyCommand viene usato con nomi utente contenenti caratteri di controllo (per esempio newline).
Alcuni flussi di input in OpenSSH non eliminavano correttamente caratteri di controllo inseriti nei nomi utente. Un attaccante può sfruttare questo comportamento costruendo un nome utente contenente, ad esempio, un newline seguito da una stringa che dovrebbe essere interpretata come comando.
Quando quel nome utente viene inserito nella stringa invocata dal ProxyCommand, alcune shell non si fermano all’errore di sintassi introdotto dal newline e continuano l’esecuzione: la riga successiva può quindi essere eseguita come payload. In sostanza: una piccola sequenza di caratteri malevoli, combinata con una shell permissiva e una certa configurazione SSH, può trasformarsi in RCE.
Perché un submodule Git è pericoloso
GIT può rivelarsi insidioso perché sfrutta azioni ordinarie degli sviluppatori. Un repository può includere un submodule il cui URL SSH è stato costruito per contenere un nome utente manipolato. Quando qualcuno esegue: git clone –recursive
Git prova a recuperare anche i submodule via SSH — ed è in quel momento che il client esegue il ProxyCommand configurato localmente. In determinate condizioni, l’intera catena porta all’esecuzione del payload.
L’exploit infatti non si attiva “da solo”. Per funzionare servono due precise condizioni sul sistema della vittima:
- Shell permissiva: la shell invocata dal ProxyCommand deve continuare l’esecuzione dopo un errore di sintassi (comportamento tipico di Bash, Fish, csh)
- ProxyCommand vulnerabile: il file ~/.ssh/config dell’utente deve contenere un ProxyCommand che include il token %r (il nome utente remoto) senza adeguata protezione — ad esempio %r non deve essere correttamente quotato o sanitizzato.
Se entrambe le condizioni si verificano, il nome utente manipolato può essere interpolato nella stringa invocata dal proxy e far partire comandi non voluti.
Implicazioni pratiche
- Sviluppatori e sistemi automatizzati che effettuano clone ricorsivi rappresentano un bersaglio sensibile perché il vettore sfrutta operazioni di routine.
- Strumenti che generano automaticamente ~/.ssh/config e inseriscono %r senza protezioni amplificano il rischio
- La presenza di proof-of-concept pubblici rende la situazione urgente: aumenta la probabilità che qualcuno automatizzi lo sfruttamento su larga scala.
PoC pubblici — cosa mostrano e perché preoccuparsi (informazione non actionabile)
Negli ultimi giorni sono circolati proof-of-concept che spiegano chiaramente la catena d’attacco, ma senza fornire istruzioni pratiche per sfruttarla. Questi PoC mostrano lo scenario tipico: un nome utente contenente caratteri di controllo che viene interpolato nel ProxyCommand, e una shell permissiva che finisce per eseguire la riga successiva. Molti PoC usano come dimostrazione esattamente il caso del submodule Git perché rende evidente il rischio supply-chain: un repository compromesso può raggiungere facilmente sviluppatori e pipeline automatizzate.
Il valore operativo dei PoC non è insegnare come sfruttare, ma mettere in evidenza dove concentrare le verifiche. Tuttavia, la loro pubblicazione riduce il tempo che gli attaccanti impiegherebbero per sviluppare exploit automatici, dunque la finestra per intervenire è breve.
La falla viene risolta aggiornando OpenSSH alla versione 10.1, attività da effettuare quanto prima
L'articolo ProxyCommand: la piccola stringa che apre una porta per gli exploit proviene da il blog della sicurezza informatica.