Sono apparse sul mercato le prime soluzioni realmente funzionali che utilizzano l’intelligenza artificiale per individuare vulnerabilità nel codice sorgente. La nuova generazione di sistemi AI-SAST, i cosiddetti “AI Security Engineer”, non si limitano più ad automatizzare l’analisi statica, ma imitano il pensiero di un auditor, identificando difetti logici, errori architetturali e incongruenze tra l’intento dello sviluppatore e l’implementazione.

Un ricercatore che ha testato questi prodotti ha riferito che ZeroPath, Corgea e Almanax attualmente offrono i risultati migliori. Questi strumenti possono individuare vulnerabilità ed errori reali in pochi minuti, inclusi difetti complessi nella logica di business, senza l’utilizzo di rigide regole di firma.

Analizzano il contesto, confrontano funzioni, variabili e dati tra file e generano persino potenziali correzioni del codice. Il tasso di falsi positivi è significativamente inferiore a quello delle piattaforme SAST classiche .

I motori di intelligenza artificiale di tali sistemi operano in un processo a più fasi. Innanzitutto, indicizzano il repository, costruiscono un albero sintattico astratto e determinano lo scopo dell’applicazione.

Quindi analizzano il codice in modo sequenziale, riga per riga, funzione per funzione e file per file, utilizzando algoritmi di ricerca proprietari, euristiche e query LLM. La fase finale prevede la verifica della raggiungibilità delle vulnerabilità, la valutazione della loro gravità e la deduplicazione automatica dei risultati. Alcune soluzioni, come ZeroPath, analizzano inoltre le dipendenze, determinando se le CVE pubbliche hanno un impatto su un progetto specifico e generando report SOC 2.

Durante i test, ZeroPath ha dimostrato un tasso di rilevamento prossimo al 100% per le vulnerabilità di test e ha identificato oltre 50 nuovi problemi in progetti open source, tra cui curl, sudo, Next.js, Avahi e Squid.

Tra questi, buffer overflow, gestione errata dei certificati, perdite di memoria, controllo improprio delle eccezioni e vulnerabilità nell’implementazione TLS.

Corgea ha ottenuto ottimi risultati nell’utilizzo di codice JavaScript e ha prodotto report dettagliati con grafici di analisi delle taint, sebbene abbia prodotto un numero elevato di falsi positivi. Almanax si è rivelato utile per individuare frammenti dannosi ed errori semplici all’interno di singoli file, ma è stato meno efficace nell’analisi delle relazioni tra i file.

Nonostante le limitate capacità di correzione automatica e i rari errori di classificazione, l’efficacia di tali sistemi è già impressionante. Possono controllare vecchi frammenti di codice, analizzare automaticamente i nuovi commit, integrarsi con CI/CD e aiutare gli sviluppatori a correggere le vulnerabilità prima del rilascio. Al loro attuale basso costo, queste soluzioni stanno diventando uno strumento estremamente conveniente per i penetration tester e i team di sicurezza aziendale.

La conclusione principale dell’autore è che le piattaforme AI-SAST rappresenteranno uno dei progressi tecnologici più significativi nella sicurezza informatica dalla rinascita del fuzzing negli anni 2010. Non sostituiranno completamente i penetration tester , ma svolgono già gran parte del lavoro di routine, migliorando la qualità del codice e riducendo il numero di vulnerabilità critiche.

L'articolo L’intelligenza artificiale entra nello Sviluppo Sicuro del codice: i nuovi strumenti AI-SAST proviene da il blog della sicurezza informatica.

Lettura interessante.

micromega.net/netanyahu-hamas-…

Contro Netanyahu sì, contro Putin e Hamas no: una catastrofe etica – MicroMega

La profonda incoerenza della sinistra è dovuta alla visione omogenea e manichea dell’Occidente come Male assoluto.

^Micromega

Periodicamente suggerisco quali canali e spazi web permettono di seguire slowforward e quindi essere informati di notizie di politica, scritture di ricerca, arte contemporanea, musica sperimentale, glitch, asemic writing, festival, presentazioni, eventi e altro.

Tanto per cominiciare, l’indirizzo del sito è:

(1) slowforward.net

(2) E per avere aggiornamenti ci si può registrare (insieme ad altri 1800+ subscribers) seguendo queste semplicissime indicazioni: archive.org/details/follow-slo…

(3) Altrimenti ci si può iscrivere ai canali che seguono (a volte più ricchi dello stesso slow): telegram = https://t.me/slowforward instagram = tinyurl.com/slowforward-ig whatsapp = tinyurl.com/slowchannel

(4) Mentre ko-fi funziona sia da rilancio di post vari, sia da microdiario saltuario, e da luogo che permette a chi lo desidera di sostenere anche con un semplice caffè il mio lavoro quotidiano: tinyurl.com/differxx

(5) In attesa di migrare su peertube, slowforward ha i propri video qui, e dei link condivisi nello spazio post

(6) Infine, non amando io (pur stando su) facebook, segnalo che ogni post che compare su slowforward viene puntualmente ripubblicato/linkato qui: mastodon.uno/@

Who doesn’t know the problem of glare when trying to ogle a PCB underneath a microscope of some description? Even with a ring light, you find yourself struggling to make out fine detail such as laser-etched markings in ICs, since the scattered light turns everything into a hazy mess. That’s where a simple sheet of linear polarizer film can do wonders, as demonstrated by [northwestrepair] in a recent video.

Simply get one of these ubiquitous films from your favorite purveyor of goods, or from a junked LCD screen or similar, and grab a pair of scissors or cutting implements. The basic idea is to put this linear polarizer film on both the light source as well as on your microscope’s lens(es), so that manipulating the orientation of either to align the polarization will make the glare vanish.

This is somewhat similar to the use of polarizing sunshades, only here you also produce specifically the polarized light that will be let through, giving you excellent control over what you see. As demonstrated in the video, simply rotating the ring light with the polarizer attached gives wildly different results, ranging from glare-central to a darkened-but-clear picture view of an IC’s markings.

How to adapt this method to your particular microphone is left as your daily arts and crafts exercise. You may also want to tweak your lighting setup to alter the angle and intensity, as there’s rarely a single silver bullet for the ideal setup.

Just the thing for that shiny new microscope under the Christmas tree. Don’t have a ring light? Build one.

youtube.com/embed/LEZwEoKcPV8?…

hackaday.com/2025/10/13/give-y…