‹ Tutti gli articoli
AI

Il copilota scrive codice bucato (nel 45% dei casi)

30 maggio 2026 · di Angelo Pallanca (Pan) · 2 min di lettura

La promessa è seducente: scrivi una riga in italiano, l'AI ti sforna la funzione. Più veloce, più produttivo, meno fatica. Quello che la demo non mostra è la seconda metà della frase: più veloce a produrre anche i buchi.

Il report Veracode sul codice generato da AI ha messo un numero sul disagio: nel 45% dei casi, su oltre cento modelli e ottanta task di programmazione reali, l'output contiene una vulnerabilità di sicurezza. Non un caso limite. Quasi una volta su due.

La velocità non è gratis

Gli studi più recenti, come quelli che confrontano i modelli contro la OWASP Top 10, raccontano dettagli scomodi. Il codice backend generato dall'AI tende a impostare permessi troppo larghi, allargando la superficie d'attacco. La validazione degli input è spesso approssimativa. E alcuni linguaggi soffrono più di altri: il codice Java prodotto dall'AI passa i controlli di sicurezza in meno di un terzo dei casi.

Il problema non è che l'AI sia stupida. È che è addestrata su miliardi di righe di codice umano, e il codice umano è pieno di vulnerabilità. Le ha imparate insieme alle buone pratiche, e le ripropone con la stessa sicurezza con cui ti suggerisce la cosa giusta. Confonde "frequente" con "corretto".

Il copilota non capisce la sicurezza. Riproduce pattern. E molti pattern diffusi sono cattive abitudini con tanti like su GitHub.

Quando il codice diventa il vettore

C'è poi il capitolo più inquietante, dove l'AI non scrive solo codice insicuro ma diventa lei stessa la porta d'ingresso. La vulnerabilità CVE-2025-53773 ha mostrato che una prompt injection nascosta nella descrizione di una pull request poteva portare GitHub Copilot a eseguire codice da remoto. Punteggio di gravità: 9.6 su 10.

Leggi bene: un attaccante scrive istruzioni invisibili dentro una richiesta di modifica, l'assistente le ingoia come fossero comandi legittimi, e finisce per eseguire ciò che vuole l'attaccante. Lo strumento pensato per aiutarti a scrivere codice diventa il complice di chi vuole bucarlo.

Perché conta (per chi scrive software e per chi lo usa)

Per chi sviluppa: l'AI è un ottimo apprendista, pessimo revisore. Tratta il suo output come codice di uno stagista bravo e disinvolto: utile, da controllare riga per riga. La code review non è un optional che l'AI elimina, è proprio il punto dove il rischio si concentra adesso.

Per chi compra software: dietro a metà delle app che usi c'è codice scritto in parte da un'AI che, statisticamente, ha lasciato in giro qualche porta aperta. La domanda da fare ai fornitori non è "usate l'AI", ma "chi controlla quello che l'AI produce".

La produttività è reale, non la sto negando. Ma la favola del codice gratis non esiste. Quello che risparmi in tempo di scrittura lo ritrovi, con gli interessi, nel tempo di chi dovrà trovare i bug. O peggio, nel tempo di chi quei bug li troverà al posto tuo, e non per aiutarti.