Close Menu
    Trending

    Codice generato dall’AI: come garantire sicurezza nei flussi di sviluppo

    By 6 Mins Read

    Brian Roche di Veracode analizza i rischi legati al codice generato dall’AI e individua i punti chiave che possano garantirne la sicurezza

    codice-generato-dall'ai

    Nell’articolo che condividiamo di seguito, Brian Roche, CEO di Veracode parla dei rischi legati al codice generato dall’AI e spiega perché in questa pratica è fondamentale mettere la sicurezza al primo posto. Scopriamo qual è l’approccio giusto che gli sviluppatori devono oggi adottare.

    Buona lettura!

    Agentic AI, come rendere il codice più sicuro

    Gli assistenti di codifica basati sull’intelligenza artificiale, come GitHub Copilot, stanno trasformando il modo in cui gli sviluppatori scrivono il software, aumentando la produttività e accelerando i cicli di sviluppo. Tuttavia, se da un lato questi strumenti generano codice in modo decisamente più efficiente, dall’altro introducono con maggiore facilità nuovi rischi, comprese vulnerabilità di sicurezza che potrebbero causare gravi violazioni. Come è possibile ridurre il rischio derivante dall’enorme quantità di codice non sicuro generato dall’AI nell’ambito dello sviluppo del software?

    Ruolo e rischi dei flussi di lavoro agentici negli assistenti di codifica AI

    I flussi di lavoro basati su agenti, come la recente modalità di GitHub Copilot, in cui gli AI Agent completano autonomamente le attività di codifica, debug e test, aumentano i rischi, già elevati, legati alla generazione di codice da parte dell’intelligenza artificiale. Se questi accelerano lo sviluppo su larga scala, introducono anche rischi per la sicurezza difficili da identificare e gestire. Gli agenti guidati dall’AI spesso non considerano le migliori pratiche di sicurezza, con conseguenze potenzialmente rischiose:

    • Un processo decisionale automatizzato che privilegia gli aspetti funzionali rispetto a quelli di sicurezza.
    • Un eccessivo affidamento a repository di codice non verificato con conseguente aumento dei rischi legati alle terze parti.
    • Vulnerabilità persistenti che si alimentano attraverso le iterazioni del codice generato dall’intelligenza artificiale.

    Il crescente utilizzo dell’AI per lo sviluppo di software continua a superare i controlli di sicurezza. Le organizzazioni devono implementare perimetri di sicurezza che si integrino nei flussi di lavoro agentici, garantendo che i controlli siano parte del processo di automazione.

    I rischi legati al codice generato dall’AI

    Alcuni studi hanno dimostrato che il codice generato dall’AI può presentare falle di sicurezza in misura simile o più elevata rispetto al codice scritto manualmente. Uno studio dell’Università di Stanford ha rilevato che il 40% dei suggerimenti di codice generati dall’intelligenza artificiale su GitHub Copilot presentava vulnerabilità di sicurezza. Un altro report dei ricercatori della NYU ha scoperto che il codice supportato dall’AI presentava un numero di falle di sicurezza quasi tre volte superiore a quello del codice scritto dall’uomo, a seconda dei casi.

    Inoltre, dal report State of Software Security 2025 di Veracode, sono emerse queste ulteriori evidenze:

    • Dal 2020, il tempo medio per risolvere le falle di sicurezza è aumentato del 47%, perché i team non riescono a tenere il passo con l’enorme quantità di vulnerabilità create.
    • La metà delle organizzazioni ha un debito di sicurezza critico, costituito da falle irrisolte e ad alta sfruttabilità che si protraggono da anni e continuano ad accumularsi.
    • Il 70% di questo debito critico di sicurezza deriva dal codice di terze parti e dalla supply chain del software. Anche se tanti sviluppatori non utilizzano l’intelligenza artificiale per generare codice, è probabile che lo facciano le librerie che vengono impiegate.

    Queste vulnerabilità oscillano tra punti deboli comuni, come le iniezioni SQL, ed errori funzionali complessi che possono esporre le applicazioni al rischio di violazione. La velocità con cui il codice viene generato dall’intelligenza artificiale fa sì che queste falle possano diffondersi rapidamente se la sicurezza non viene messa al primo posto.

    Strategie per proteggere il codice generato dall’AI

    Le organizzazioni che si affidano allo sviluppo di codice basato su AI dovrebbero adottare misure proattive al fine di garantirne la sicurezza, tra cui:

    • Scansione di sicurezza automatica: eseguire scansioni automatizzate (come l’analisi statica) su tutti i codici, generati o meno dall’AI, prima della distribuzione.
    • Revisione manuale del codice: il codice generato dall’AI deve sempre essere esaminato da tecnici esperti.
    • Audit di librerie di terze parti: assicurarsi che il codice generato dall’intelligenza artificiale non introduca vulnerabilità da componenti di terze parti non verificati, utilizzando Software Composition Analysis (SCA).
    • Integrazione della sicurezza nei flussi di lavoro agentici: automazione delle politiche di sicurezza per garantire che gli agenti AI applichino standard di crittografia sicuri.
    • Adozione di strumenti di sicurezza basati sull’AI: implementare strumenti quali Veracode Fix per correggere automaticamente i rischi di sicurezza in tempo reale.

    Ad esempio, una società globale di servizi finanziari ha implementato la codifica assistita da AI su una piattaforma di pagamento critica. In poche settimane, le scansioni di sicurezza interne hanno rivelato che oltre il 60% dei suggerimenti di codice generati dall’intelligenza artificiale conteneva vulnerabilità ad alta gravità, tra cui iniezione SQL e difetti di bypass dell’autenticazione. Se non trattate, queste falle avrebbero potuto esporre milioni di dati dei clienti. Di conseguenza, l’organizzazione si è rivolta a un’azienda specializzata del settore che, attraverso le proprie soluzioni, ha automatizzato la correzione dei difetti e ridotto il rischio di sicurezza del 75% in meno di tre mesi.

    L’approccio al codice: la sicurezza nell’era dell’intelligenza artificiale

    In un’epoca in cui l’AI contribuisce sempre più alla scrittura del codice su cui facciamo affidamento, è necessario integrare intrinsecamente la sicurezza in ogni fase del ciclo di vita dello sviluppo software. Lo scenario ideale per garantire la sicurezza del codice generato dall’AI deve includere:

    • Remediation delle vulnerabilità assistito dall’AI: l’intelligenza artificiale supporta la correzione delle falle nel codice generato dall’AI, suggerendo soluzioni sicure in tempo reale. Integrandosi direttamente nei flussi di lavoro degli sviluppatori, si assicura che tutto il codice, specialmente quello generato dall’intelligenza artificiale, rispetti i più elevati standard di sicurezza prima del deployment.
    • Governance e conformità basate sull’AI: con la crescente presenza di codice generato dall’intelligenza artificiale, le organizzazioni devono implementare framework normativi per conformarsi alle normative di sicurezza. Strumenti e compliance aiutano a gestire lo sviluppo guidato dall’AI in linea con gli standard di settore.

    Garantire la sicurezza del codice generato dall’AI fin da subito

    Gli assistenti di codifica basati sull’intelligenza artificiale e i flussi di lavoro autonomi sono qui per restare e continueranno a evolvere rapidamente. Le aziende devono riconoscere che la sicurezza non può essere rimandata in questa trasformazione, sennò sarà più complicato tenere sotto controllo il rischio e il debito di sicurezza. Integrando la sicurezza nei loro flussi di lavoro di sviluppo, i team possono sfruttare con fiducia il potere dell’AI, assicurando che la sicurezza rimanga una priorità assoluta.

    di Brian Roche, CEO di Veracode

    Share.

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati