Shadow Vibe Coding: la nuova minaccia nascosta nello sviluppo software con l’IA
Con la crescente integrazione dei modelli generativi nello sviluppo software, le aziende stanno aumentando le preoccupazioni, non tanto per le prestazioni, quanto per la sicurezza. Secondo un sondaggio di Dark Reading , solo il 25% degli sviluppatori ha dichiarato di aver implementato il vibe coding senza problemi significativi, mentre il resto ha riconosciuto che i rischi erano troppo elevati.
Il Vibe Coding si riferisce a un processo in cui un programmatore fornisce istruzioni a un modello come Google Gemini in linguaggio naturale, che genera codice senza l’intervento umano.
Dal punto di vista della velocità e della praticità, questo metodo è allettante, motivo per cui, quasi tutti i principali clienti utilizzano già strumenti di generazione di codice. Tuttavia, con l’aumento dell’efficienza arrivano nuove minacce.
Il principale è la qualità del codice prodotto. Gli algoritmi non sono in grado di valutare adeguatamente la sicurezza delle soluzioni e sono soggetti ad “allucinazioni”, ovvero errori logici imprevedibili. Il codice risultante contiene spesso vulnerabilità che gli sviluppatori notano solo dopo il rilascio. Pertanto, la maggior parte degli esperti consiglia di utilizzare gli assistenti AI come strumento ausiliario, ma di non consentire loro di pubblicare build finali senza la revisione umana.
Secondo un sondaggio condotto su quasi mille professionisti, solo il 24% degli intervistati ritiene che il vibe coding aiuti effettivamente a creare applicazioni sicure più velocemente. Il 41% dei partecipanti ha dichiarato di non implementare tali strumenti a causa dell’elevato livello di rischio, il 16% è disposto a prendere in considerazione questa pratica dopo aver apportato modifiche ai propri processi e il 19% non la utilizza attualmente, ma prevede di iniziare.
Tuttavia, il 76% che ha rifiutato l’utilizzo completo non significa necessariamente che le aziende stiano evitando l’argomento. Molte stanno sperimentando in ambienti di test o utilizzando alcune funzionalità di generazione di codice in modalità limitata. Come osserva Omdia, la quota effettiva di utenti potrebbe essere superiore ai dati ufficiali, poiché alcuni sviluppatori utilizzano tali strumenti senza avvisare il management, una pratica nota come “shadow vibe coding“.
Questa zona grigia è già diventata un problema serio. Gli sviluppatori, nel tentativo di accelerare il lavoro e aggirare la burocrazia delle approvazioni, stanno collegando servizi di intelligenza artificiale non autorizzati, non sottoposti a verifica o monitoraggio da parte dei servizi di sicurezza. Nel suo rapporto “Costo di una violazione dei dati nel 2025“, IBM ha rilevato che un intervistato su cinque ha subito un attacco correlato all’uso “ombra” dell’intelligenza artificialee che il danno derivante da tali incidenti è stato, in media, di 670.000 dollari superiore rispetto alle aziende che non hanno adottato tali pratiche.
Nonostante questi risultati allarmanti, non è più possibile arrestare completamente la diffusione del vibe coding. Gli strumenti basati su LLM stanno gradualmente diventando parte integrante dello sviluppo moderno, a volte anche all’insaputa dei team di sicurezza informatica. Pertanto, trasparenza e controllo rimangono fondamentali.
Il governo britannico ha già pubblicato le proprie linee guida per l’uso sicuro degli assistenti AI nello sviluppo software per le agenzie governative. In esse si sottolinea la necessità di comprendere i limiti della tecnologia, testare i risultati per individuare eventuali errori, condurre revisioni del codice e formare specialisti nell’utilizzo delle reti neurali. Solo questo approccio può bilanciare efficienza e sicurezza senza trasformare l’IA generativa in una fonte di nuove vulnerabilità.
Per ora, il settore sta imparando dai propri errori e ogni nuovo esempio dimostra che l’automazione senza responsabilità è sempre più costosa del vero lavoro manuale.
L'articolo Shadow Vibe Coding: la nuova minaccia nascosta nello sviluppo software con l’IA proviene da il blog della sicurezza informatica.