E se le intelligenze artificiali producessero del codice vulnerabile oppure utilizzassero librerie e costrutti contenenti bug vecchi mai sanati? Si tratta di allucinazione o apprendimento errato?

Una vulnerabilità risalente a quindici anni fa, pubblicata per la prima volta come Gist su GitHub nel 2010 , continua a infettare progetti open source, tutorial e persino modelli linguistici di grandi dimensioni. Nonostante gli avvertimenti degli sviluppatori del 2012, 2014 e 2018, un esempio del codice vulnerabile è migrato nella documentazione di MDN e nelle risposte di Stack Overflow, per poi finire nei dati di training di LLM.

Il ricercatore Yafar Akhundali dell’Università di Leida e i suoi colleghi hanno sviluppato un sistema automatizzato in grado di individuare, sfruttare e correggere questa vulnerabilità nei progetti GitHub. Il lavoro è descritto in un preprint su arXiv intitolato “Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub”.

Questo è un caso di CWE-22, una tipica vulnerabilità di path traversal in cui un costrutto può essere utilizzato per accedere a directory al di fuori dell’area consentita. In pratica, questo può portare sia a perdite di file che ad attacchi DoS tramite overflow di memoria.

Gli autori hanno condotto un test che ha coinvolto Claude, Gemini, GPT-3.5, GPT-4, GPT-4o e diverse modalità Copilot. Quando ai modelli è stato chiesto di scrivere un server semplice senza librerie di terze parti, 76 richieste su 80 hanno restituito codice vulnerabile. Anche richiedendo direttamente la versione “sicura”, 56 esempi su 80 sono rimasti vulnerabili. GPT-3.5 e Copilot (bilanciato) hanno ottenuto prestazioni particolarmente scarse, non generando una singola variante sicura.

Il sistema automatizzato sviluppato dal team è in grado di analizzare repository pubblici, riprodurre un attacco in un ambiente sandbox e, se una vulnerabilità viene confermata, generare e inviare automaticamente una patch. Per generare le patch viene utilizzato il protocollo GPT-4 e le notifiche relative ai risultati vengono inviate via email agli autori del progetto, in modo da non divulgare pubblicamente le vulnerabilità.

Dei 40.546 repository, il sistema ha identificato 41.870 file vulnerabili. Dopo averli filtrati con l’analisi statica, ne sono rimasti 8.397, di cui 1.756 vulnerabili. Sono state generate e inviate 1.600 patch valide. Tuttavia, il numero totale di progetti che hanno applicato le correzioni è stato di soli 63, meno del 15% di quelli che hanno ricevuto una notifica.

Secondo Akhundali, il motivo della scarsa risposta è che molti progetti vengono abbandonati o il codice vulnerabile non raggiunge l’ambiente di produzione. Tuttavia, questo non riduce il rischio: se la vulnerabilità viene sfruttata, può portare alla compromissione del sistema.

Gli autori osservano: gli LLM oggi stanno diventando non solo uno strumento di generazione di codice, ma anche un canale per la distribuzione di vulnerabilità. Persino i modelli più diffusi producono con sicurezza soluzioni non sicure, pur dichiarando di essere protetti.

Data la crescita degli “agenti di programmazione” e la pratica del “vibe coding”, la fiducia cieca negli assistenti AI senza analizzarne l’output è la strada diretta verso gli incidenti .

L'articolo Non fidarti del codice prodotto dalle AI! Un bug Giurassico del 2010 infetta anche GPT-4 proviene da il blog della sicurezza informatica.

If you think of a 1960s mainframe computer, it’s likely that your mental image includes alongside the cabinets with the blinkenlights, a row of reel-to-reel tape drives. These refrigerator-sized units had a superficial resemblance to an audio tape deck, but with the tape hanging down in a loop either side of the head assembly. This loop was held by a vacuum to allow faster random access speeds at the head, and this fascinates [Thorbjörn Jemander]. He’s trying to create a cassette tape drive that can load 64 kilobytes in ten seconds, so he’s starting by replicating the vacuum columns of old.

The video below is the first of a series on this project, and aside from explaining the tape drive’s operation, it’s really an in-depth exploration of centrifugal fan design. He discovers that it’s speed rather than special impeller design that matters, and in particular a closed impeller delivers the required vacuum. We like his home-made manometer in particular.

What he comes up with is a 3D printed contraption with a big 12 volt motor on the back, and a slot for a cassette on the front. It achieves the right pressure, and pulls the tape neatly down into a pair of loops. We’d be curious to know whether a faster motor such as you might find in a drone would deliver more for less drama, but we can see the genesis of a fascinating project here. Definitely a series to watch.

Meanwhile, if your interest extends to those early machine rooms, have a wallow in the past.

youtube.com/embed/avpn8rIkkRY?…

hackaday.com/2025/06/05/a-stea…

We exposed as a lie the Trump administration’s basis for repealing restrictions on surveilling journalists to investigate leaks. The “fake news” that the administration claimed to be combating — reports that the intelligence community disputed its claim that the Venezuelan government directed the activities of the Tren de Aragua gang in the United States – was, in fact, 100 percent accurate.

But just in case that bombshell and the widespread news coverage that followed doesn’t shame the administration into changing course, Freedom of the Press Foundation (FPF) hosted a discussion about past efforts by the government to out reporters’ sources and what journalists should expect when federal prosecutors come after their newsgathering.

Our panelists would know better than most. Former New York Times reporter and Pulitzer Prize-winner James Risen fought a seven-year battle against attempts by both the George W. Bush and Barack Obama administrations to force him to testify and reveal his sources in a leak investigation. He detailed the Obama administration’s endless litigation against him, while at the same time it engaged in secret digital surveillance of his communications.

Ryan Lizza, the founder and editor of Telos.news and a former reporter at Politico, CNN, and The New Yorker, also joined to discuss his reporting on the Obama administration’s overreach in secretly spying on Fox News reporter James Rosen, as well as efforts by former U.S. representative and current Trump sycophant Devin Nunes to obtain Lizza’s communications from tech companies in separate litigation.

And Lauren Harper, Daniel Ellsberg chair on government secrecy at FPF, discussed the aforementioned revelations about the Trump administration’s false pretexts for cracking down on leaks, which she obtained through the Freedom of Information Act.

youtube.com/embed/5_SDsXS5s8g?…

Risen started by laying out the stakes that emerged after 9/11. “Basically everything about the American conduct in the war on terror was classified,” he explained. “Everything that we now take for granted about our body of knowledge about how the United States conducts warfare in the 21st century came through leaks or unauthorized disclosures of one form or another.”

Lizza agreed, adding that critics of the Iraq War in the current administration would not have been able to mount their criticisms without leaks. Politicians, he explained, use leaked information to form the basis for their political platforms and then turn against leakers when they’re the ones in power.

Harper disputed the administration’s apparent belief that the solution to leaks is more secrecy, not less. “Upwards of 90% of information that is classified ought not to be. So I think in some ways, we can look at leaks as a response to a broken classification system,” she said.

Risen observed that the Obama administration finally backed down from forcing him to testify not due to the law but due to bad press. Lizza had similar impressions from his coverage of the Rosen case, explaining that his reporting “got the ear of some people in the Obama administration who did not like being accused of attacking the First Amendment and going after reporters.”

As Risen explained, when the government comes after journalists it’s often not about finding out who they’re talking to, it’s about “having a chilling effect on journalism in general and making sure everybody is afraid of the government.” Added Risen, “They’ll go after journalists not because they need them, but because they want to punish them and set an example.”

It remains to be seen whether the Trump administration will respond to public shaming like Obama did, but we won’t know unless we try. First, the press needs to avoid surveillance, by implementing digital security best practices when storing data and communicating electronically with sources, but also, as Risen said, going “off the grid” and communicating face-to-face whenever possible.

When that fails and the government comes after journalists’ sources anyway, it’s imperative that the press stand up for itself and its sources, by raising alarms about the risks to investigative reporting and press freedom when the government is able to snoop into reporters’ notebooks and emails. Caving to the pressure only encourages more retaliation.

freedom.press/issues/burn-afte…

Da qualche giorno, nel silenzio omertoso dei media tradizionali, sono comparsi a Roma questi manifesti e continuano ad apparire nelle vie principali della Città.

I manifesti, in italiano e in inglese, mostrano la fotografia di una bambina palestinese gravemente ferita con la dicitura "Guarda cosa mi ha fatto LEONARDO!!".

Naturalmente Leonardo è l'azienda Leonardo Spa, il primo produttore di armi nell'Unione Europea, il secondo in Europa, il 13° nel mondo (SIPRI).

Il manifesto invita ad inquadrare il codice QR in basso per scoprire cos'è e cosa fa effettivamente Leonardo.

Ogni cittadino, ogni passante, ogni turista, può autonomamente inquadrare il codice QR col proprio cellulare e acquisire un filmato ampiamente documentato sulla responsabilità dell'azienda italiana nel Genocidio che sta perpetrando Israele.

Ma perché proprio Leonardo?

Nell'ultimo bilancio aziendale, la stessa Leonardo definisce in sintesi il proprio profilo: "Leonardo è il maggiore polo industriale e tecnologico del settore Aerospazio, Difesa e Sicurezza, forte di una presenza industriale in Italia, Regno Unito, Stati Uniti d'America, Polonia e Israele".

Israele non è semplicemente un cliente, ma ospita stabilimenti e dipendenti di Leonardo.

La presenza diretta di Leonardo in Israele si deve a un'operazione conclusasi nel luglio 2022 con l'acquisizione della società israeliana RADA Electronic Industries, specializzata in radar per la difesa a corto raggio e anti-droni (vedi il comunicato della Campagna BDS Italia), e alla conseguente nascita della nuova società israeliana DRS RADA Technologies, che è, si noti, controllata da Leonardo DRS Inc. con sede negli Stati Uniti. Ha 248 dipendenti in tre sedi israeliane (uffici a Netanya, stabilimento principale a Beit She'an, centro ricerche presso il Gav-Yam Negev Tech Park di Beer Sheva), oltre ai nuovissimi uffici a Germantown, Maryland, ai margini dell'area metropolitana di Washington, D.C.

🔎 weaponwatch.net/2024/01/26/cos…

Tra le tante iniziative per sensibilizzare la popolazione e informarla, l'idea di utilizzare il "vecchio" strumento della cartellonistica, dei tazebao, per manifestare e comunicare, associato alla possibilità tecnologica di acquisire informazioni e approfondire, è veramente geniale.

I manifesti possono essere rimossi, naturalmente, ma basta una foto per essere riprodotti, restare in memoria e essere riproposti all'infinito in ogni città italiana, in ogni punto cruciale di raduno, senza che vi siano motivi di censura.

E non solo.

È una risposta discreta ma gridata, a chi sta cercando di cambiare narrazione dopo più di 600 giorni di orrore trasmesso in diretta.

L'operazione gattopardesca di autoassoluzione, infatti, non individua i veri responsabili, non li cita, non li condanna.

Si limita ad un fastidioso piagnisteo buonista che cerca in Netanyahu il capro espiatorio.

Non pretende l'unica cosa che il governo italiano e i neo convertiti Stati europei devono fare: riconoscere la complicità e interrompere qualsiasi rapporto diplomatico e commerciale con Israele.

La multinazionale Leonardo ha confermato direttamente ad "Altreconomia" l'assistenza e l'export di pezzi di ricambio per i velivoli M-346 sui quali si addestrano i piloti dell'aviazione di Tel Aviv. L'esecutivo italiano, (alias Crosetto e Tajani), aveva assicurato pubblicamente lo "stop", ma è stato smentito dalla stessa Leonardo SPA e dai suoi bilanci.

facebook.com/share/p/1Y4GduDSe…

FOR IMMEDIATE RELEASE:

An unconstitutional policy in Greene County, Virginia, prohibits government employees from talking to the media and requires them to label anything they share with the press as “opinion” even if it’s verifiable fact.

Freedom of the Press Foundation (FPF) and the Society of Professional Journalists (SPJ) led a letter from a coalition of press freedom and transparency organizations urging Steve Catalano, chair of the Greene County board of supervisors, to rethink the policy. As the letter explains, similar policies have repeatedly been struck down as violating government employees’ constitutional right to speak about matters of public concern.

Seth Stern, FPF advocacy director, said: “A free press covering county government must be able to talk to experts with firsthand knowledge and get facts, not PR. Courts regularly reject policies requiring media inquiries to be routed to designated ‘public information officers.’ And courts would have rejected policies compelling people to label their speech as ‘opinion’ if anyone had tried implementing one before. Catalano doesn’t have a monopoly on facts. That requirement is not only unconstitutional but entirely absurd.”

Caroline Hendrie, executive director of SPJ, added: “Members of the public deserve timely and honest answers from their government, and journalists need access to public servants who know what they’re talking about. When agencies and officials impose unconstitutional gag rules, they disrupt the flow of information that people need to make decisions about their communities and their lives.”

You can read the letter here or below. To learn more about “censorship by PIO,” check out SPJ’s online resource, Gagged America.

Please contact FPF or SPJ if you would like further information.

freedom.press/static/pdf.js/we…

freedom.press/issues/rights-or…

Lettera aperta a Nicola Ghittoni, conduttore e autore del podcast "Morning", una rassegna stampa del Post che va in onda dal lunedì al venerdì (il sabato c'è ma è condotta da un'altra persona).

Caro Nicola,

mi permetto di chiamarti "caro" e di darti del "tu" perché da qualche tempo ogni giorno facciamo insieme la strada per andare al lavoro, io al volante della mia auto e tu dal microfono di "Morning".

E mi permetto di pubblicare questa lettera sul mio profilo nel Fediverso (@max@poliverso.org), perché in realtà quello che sto scrivendo a te lo vorrei scrivere a tante altre persone.

E' la seconda volta questa settimana che scrivo a un conduttore di podcast del Post, qualche giorno fa avevo scritto a Francesco Costa su un tema simile.

Vorrei attirare la vostra attenzione sul rischio che diventiate, involontariamente, veicolo di stereotipi anti-sindacali. Mi riferisco alla battuta con cui oggi hai aperto il tuo podcast, "In Italia siamo abituati agli scioperi di venerdì".

Provo a spiegarmi per punti perché l'argomento è articolato.

Punto 1: davvero si sciopera così spesso di venerdì?
Da 15 anni sono iscritto alla FIOM e da un anno circa sono un delegato sindacale. Ti metto qua sotto qualche informazione sulle date in cui sono stati fatti gli ultimi scioperi nella mia azienda (ho solo le date relative agli scioperi proclamati nell'ultimo anno, da quando sono diventato delegato):

• venerdì 29 novembre 2024 Sciopero generale, 8h (manifestazione a FI)
• mercoledì 11 dicembre 2024 Esplosione deposito ENI di Calenzano, 4h
• mercoledì 18 dicembre 2024 Rinnovo contrattuale, 8h (manifestazione a PO)
• mercoledì 19 febbraio 2025 Rinnovo contrattuale, 3h (presidio davanti azienda)
• venerdì 21 febbraio 2025 Rinnovo contrattuale, 5h
• mercoledì 26 marzo 2025 Rinnovo contrattuale, 8h (manifestazione a FI)
• martedì 22 aprile 2025 Rinnovo contrattuale, 2h (presidio davanti azienda)
• giovedì 24 aprile 2025 Rinnovo contrattuale, 2h (presidio davanti azienda)
• martedì 29 aprile 2025 Rinnovo contrattuale, 2h (presidio davanti azienda)

La classifica dei giorni scelti per gli scioperi è guidata da mercoledì (4 scioperi), seguono martedì e venerdì (2 scioperi a testa) e chiude giovedì (un solo sciopero).

Gli scioperi di un'azienda sola, per giunta in un periodo così breve, sono statisticamente significativi? No di certo, però un dubbio potrebbero farlo venire e potrebbe essere utile verificare se davvero ci sia questa schiacciante prevalenza di scioperi fatti di venerdì.

Da qui in avanti invece supporrò che davvero ci sia una netta prevalenza di scioperi fatti il venerdì, ma ripeto che sarebbe bello verificare quanto sia giustificata nei fatti questa convinzione.

Punto 2: di quali scioperi si parla?
Ci sono scioperi che si traducono in una semplice astensione dal lavoro, scioperi con astensione e presidio davanti all'azienda, scioperi con manifestazione provinciale, scioperi con manifestazione regionale e scioperi con manifestazione nazionale (in genere a Roma).

Ti dico come funziona uno sciopero con manifestazione nazionale perché a quanto mi risulta sono momenti a cui partecipa una sparuta minoranza di persone e può essere che pochi sappiano cosa succede realmente o, peggio ancora, che sopravviva l'idea che lo sciopero sia quella cosa che si faceva alle superiori e che si traduceva in una bella mattinata di vacanza, niente interrogazioni, passeggiata in centro con gli amici, ecc. ecc.

Abito a Firenze, il pullman della CGIL per Roma parte intorno alle 7:00 (da Firenze... pensa a che ora si parte da Torino o da Palermo...). Punto la sveglia alle 6:00 e alle 7:00 sono al punto di ritrovo (che non è lontano da casa mia, ma non per tutti è così). Partiamo e intorno alle 11:00 arriviamo a Roma (metro Anagnina). Intorno alle 12:00 arriviamo al concentramento, inizia il corteo e per un paio d'ore si cammina, fino a quando non si arriva al punto dove si terrano i discorsi e lì si sta un'oretta in piedi ad ascoltare i discorsi. Si riparte e, sempre a piedi, si raggiunge la prima stazione della metropolitana aperta (per motivi di sicurezza quelle più vicine sono chiuse, quindi si cammina parecchio), si prende la metro e si torna al pullman, si parte e si rientra a Firenze intorno alle 21:00 (a Firenze... pensa a che ora arriva a casa chi parte da Torino o da Palermo...).

Quindi, levataccia alle 6:00, viaggio andata e ritorno Firenze-Roma in giornata (o Torino-Roma, o Palermo-Roma, dipende...), ore passate a camminare o comunque in piedi, rientro a casa in serata (o in nottata)... e il giorno dopo dovremmo andare a lavorare? Vale la pena ironizzare o lanciarsi in ardite dietrologie sui motivi reconditi per cui questi scioperi vengano fatti "sempre" il giorno prima di un giorno in cui possiamo riposarci?

Punto 3: quanto costa scioperare?
Dall'inizio della campagna di scioperi per il rinnovo del nostro contratto ad oggi abbiamo accumulato quasi una settimana di scioperi. I giorni in cui si sciopera non vengono pagati, come si sa, e considerando una media di 20 giorni lavorativi al mese, conviene ricordare che una giornata di sciopero costa il 5% dello stipendio. Chi ha uno stipendio di 1500 euro netti al mese una giornata di sciopero se la paga 75 euro. Non sono proprio spiccioli.

Se anche si parlasse di scioperi locali, senza spostamenti a Roma, possiamo spenderci questi 75-100 euro nel giorno che preferiamo, magari approfittandone per unire l'utile al dilettevole e far cominciare qualche ora prima il nostro fine settimana? O dobbiamo spendere tutti quei soldi in un giorno che non ci torna neanche comodo? E per dimostrare cosa, che non siamo opportunisti? Che non siamo gente che sciopera per divertimento? Che siamo duri e puri, pronti al sacrificio (tanto duro quanto inutile) in nome dei nostri ideali? Vale di più la lotta fatta facendosi del male? E se scioperassimo flagellandoci sarebbe una dimostrazione ancora più alta di quanto siano nobili le nostre proteste?

Per cui, io non ho elementi per dire se davvero ci sia questa preminenza di scioperi fatti di venerdì, però se anche fosse così a me sembra che ci siano delle ragioni comprensibilissime dietro questa scelta.

Un saluto affezionato,
Massimiliano Polito

#ilPost #FIOM #scioperi

Here are some events we hope you can make:

• Friday, June 13th, 6-8pm: Join us at the Boston Dyke March. We would love your help on the march;
• Sunday, June 15th, 10am-4pm: Attend our party conference in Somerville. Details at our conference page;
• Tuesday, June 17th, 6pm: Map surveillance cameras in Cambridge. Meet at Cambridge Kiosk (former Out of Town News), Harvard Square;
• Saturday, June 21st: Join us at the Boxborough Fifers Day. Tell us if you will help us at the table.

masspirates.org/blog/2025/06/0…