Il paradosso del Vibe Coding e la sicurezza
Il Vibe Coding genera codice funzionante molto rapidamente. Ma la velocità porta con sé un rischio concreto: il codice generato da un modello AI può contenere vulnerabilità di sicurezza anche significative, spesso le stesse che troviamo nel codice scritto da sviluppatori junior senza formazione specifica sulla security.
La buona notizia è che la stessa AI che genera il codice può essere usata efficacemente per revisionarlo — con alcune importanti limitazioni da conoscere.
Ogni progetto che consegniamo passa attraverso una revisione di sicurezza in cui chiediamo al modello AI di analizzare il codice prodotto cercando specificamente le vulnerabilità della OWASP Top 10. Il risultato viene poi validato manualmente da un developer. Nessun progetto parte in produzione senza questo passaggio.
Cosa l'AI trova bene
Sulla base della nostra esperienza pratica, i modelli AI più recenti sono molto efficaci nell'identificare queste categorie di problemi:
L'AI riconosce immediatamente query costruite con concatenazione di stringhe e suggerisce prepared statements con binding dei parametri.
Trova l'output di dati utente non sanitizzato in HTML. In PHP suggerisce htmlspecialchars(), in template moderni l'escaping automatico.
Identifica form POST senza token di verifica e suggerisce l'implementazione di CSRF tokens.
Segnala immediatamente la memorizzazione di password non hashate e suggerisce bcrypt/argon2.
Trova variabili hardcodate con chiavi o token direttamente nel codice.
Individua endpoint che non verificano se l'utente loggato ha il permesso di accedere alla risorsa richiesta.
I limiti dell'AI nella revisione di sicurezza
Ci sono categorie di vulnerabilità che i modelli AI attuali trovano con difficoltà o non trovano affatto:
- Race conditions e problemi di concorrenza: difficili da individuare senza eseguire il codice in condizioni specifiche.
- Vulnerabilità logiche di business: se la logica di business stessa è errata, l'AI non ha il contesto per saperlo. Es: un coupon applicabile infinite volte.
- Vulnerabilità nelle dipendenze di terze parti: l'AI non conosce lo stato attuale dei CVE per le librerie usate.
- Problemi di configurazione server: .htaccess errati, permessi file sbagliati, header HTTP mancanti — l'AI vede il codice, non il server.
- False negative su codice complesso: in flussi di autenticazione con molte funzioni e file, l'AI può perdere il filo e non vedere un problema presente.
Il flusso di revisione che usiamo
La conclusione pratica
L'AI è uno strumento potente per la revisione di sicurezza, ma non è sufficiente da sola. Il modello giusto con il prompt giusto trova la maggior parte delle vulnerabilità comuni in modo molto più veloce di una revisione manuale tradizionale.
Il rischio reale non è che l'AI non trovi nulla — è che trovi molte cose e faccia abbassare la guardia sul 10% che non riesce a vedere. Il valore aggiunto del developer umano nella revisione di sicurezza è proprio questo: sapere quali sono i punti ciechi del modello e concentrare lì l'attenzione manuale.
Vuoi un progetto sicuro fin dall'inizio?
Ogni progetto AppVeloce include revisione di sicurezza. Nessun costo aggiuntivo.