Vibe Coding e Sicurezza: nuovi approcci contro il data poisoning

L’integrazione dell’intelligenza artificiale nel ciclo di vita dello sviluppo software sta portando a una trasformazione significativa dei processi, incrementando la velocità e l’efficienza nella generazione del codice. Tuttavia, insieme ai benefici in termini di produttività, emergono nuove problematiche di sicurezza che richiedono un’analisi rigorosa per garantire l’integrità delle infrastrutture digitali. In questo intervento, esploreremo come i modelli linguistici possano essere vulnerabili a metodologie di attacco come il data poisoning. Analizzeremo in particolare come la manipolazione dei dataset di addestramento o dei contesti di input possa indurre i sistemi a generare codice contenente vulnerabilità latenti o comportamenti indesiderati, spesso difficili da individuare durante le fasi di revisione manuale a causa della loro integrazione coerente nella logica applicativa.

A fronte di queste criticità, insieme a Pietro Liguori esamineremo l’efficacia delle attuali tecniche di rilevamento delle vulnerabilità, evidenziandone i limiti nel contesto del codice generato sinteticamente. Molte soluzioni tradizionali, infatti, non sono ottimizzate per distinguere tra errori involontari del modello e vulnerabilità introdotte intenzionalmente. Per rispondere a queste lacune, saranno presentate nuove strategie di analisi basate su DeVAIC, uno strumento di analisi statica sviluppato dal  gruppo di ricerca presso l’Università di Napoli Federico II e progettato specificamente per il codice prodotto da intelligenze artificiali. DeVAIC si propone di identificare e facilitare la risoluzione dei difetti di sicurezza tipici di questo paradigma, offrendo una maggiore precisione nel rilevamento e percorsi di bonifica strutturati per supportare gli sviluppatori. L’obiettivo dell’incontro è fornire una panoramica tecnica delle minacce emergenti e proporre soluzioni concrete per mantenere pratiche di sviluppo sicure in un ecosistema software sempre più automatizzato.