Vibecoding, un Rischio Sicurezza per il Web

La programmazione di siti web e applicazioni web attraverso l'uso di strumenti di intelligenza artificiale, un processo spesso chiamato „Vibecoding“ o „Webcoding“, presenta gravi rischi per la sicurezza. Queste conclusioni derivano da una ricerca svolta da Eva Wolfangel, esperta ICT. Nell'ultimo numero del programma KI-Update, i collaboratori del podcast del giornale c't, “They Talk Tech”, si sostituiscono al solito team e presentano una dettagliata analisi in collaborazione con Wolfangel e il ricercatore Christopher Helm. Tra i loro ritrovamenti, spiccano centinaia di siti web con database non protetti, in cui informazioni sensibili come dati finanziari, nomi di clienti o documenti di candidatura risulterebbero facilmente visibili per gli utenti.

Un esempio concreto: La storia di una startup verde

Wolfangel illustra il problema con un caso specifico: una giovane fondatrice di una startup chiamata “Larissa” che aveva aperto un negozio online con un focus sullo stile di vita sostenibile. Quando Wolfangel ha contattato la giovane per informarla che i dati dei suoi clienti erano accessibili a tutti, quest'ultima è stata sconvolta: "Ha detto, non riesco a dormire. Sono rovinata. Sono un'idiota", ha riferito Wolfangel nel podcast. Questo caso mette in luce i pericoli del Vibecoding, dove la comodità dell'uso di strumenti AI supera la sensibilità alla sicurezza.

Comfort rispetto alla sicurezza

La causa principale di queste vulnerabilità risiede nella funzionalità di strumenti come „Lovable“, una piattaforma di vibecoding. Questi strumenti permettono alle persone di creare un sito web semplicemente dando indicazioni in linguaggio naturale, senza alcuna conoscenza tecnica, e dipendono spesso da servizi „Backend-as-a-Service“ come „Supabase“ per la costruzione delle infrastrutture di dati. Wolfangel critica aspramente questi servizi per le loro impostazioni predefinite poco sicure. Supabase, ad esempio, aveva da tempo una reputazione critica per permettere accessi non protetti al database. "La comodità è stata scelta, non la sicurezza", commenta Wolfangel.

Il meccanismo delle impostazioni predefinite

Secondo Wolfangel, quando un database è accessibile a tutti, l’applicazione funziona senza problemi. Tuttavia, le complesse regole di accesso, spesso confuse per chi non sa programmare, vengono completamente ignorate. Questo approccio produce una pagina web esteticamente funzionante, ma esposta a rischi elevati.

Sicurezza e Intelligenza Artificiale: Che cosa sappiamo

Con il progresso delle tecnologie di intelligenza artificiale, il podcast “KI-Update” si concentra sulle conseguenze che queste hanno nella vita quotidiana e nel posto lavoro. Collaborando con The Decoder, il programma offre ogni giorno un aggiornamento sugli sviluppi più rilevanti di intelligenza artificiale, insieme ad una valutazione esperta del potenziale e dei rischi che essa presenta.

Nomi noti colpiti da vulnerabilità

I due ricercatori hanno scoperto non solo startup a rischio, ma anche nomi riconosciuti dell’economia e dell’istruzione in pericolo. In totale hanno analizzato più di 600 piattaforme online. Un numero considerevole di queste includeva nomi prestigiosi in settori vari. Ad esempio, la VOM-Hochschule, una delle più grandi università private in Germania, aveva accesso aperto a dati su centinaia di studenti.

Fallimento aziendale

• I dati finanziari di un noto produttore di impianti industriali tedeschi sono stati esposti.
• Un importante fornitore americano di formazione informatica per uffici pubblici ha lasciato le e-mail private di FBI agenti non protette.

Nel caso della VOM-Hochschule, i ricercatori hanno constatato che diversi tentativi si sono rivelati inutili prima di ottenere una risposta soddisfacente. Wolfangel ha dichiarato che il sistema di costruzione tramite AI genera un circolo vizioso, dove gli sviluppatori tendono a trascurare aspetti cruciali, causando errori riparabili solamente con enormi sforzi.

Quali sono i rischi di Vibecoding? E quando utilizzarlo?

Quando le persone le hanno chiesto se lo Vibecoding fosse pericoloso, Wolfangel ha espresso cautela. L’idea che chiunque possa sviluppare un’applicazione digitale, indipendentemente dall’esperienza tecnica, potrebbe essere illusoria. In particolare per situazioni in cui vengono gestite informazioni sensibili, il rischio è significativo. "Questo tipo uso-case, direi, è tra i più pericolosi," ha concluso Wolfangel.

Conclusione

La crescente popolarità di tecnologie AI come il vibecoding rappresenta una duplice prospettiva. Da una parte permette l'accesso universale alla costruzione di software, ma dall'altra esponenzialmente esposto rischi di privacy, di sicurezza e di gestione dati. La chiave per utilizzare questi strumenti efficacemente ma in sicurezza risiede nell'educazione, nell’esperienza e nella comprensione di come funzionano realmente le tecnologie dietro la semplicità dell’interfaccia utente.