Democratico ma anche tanto pericoloso: i dolori del giovane vibe coding - Cyber Security 360

Descrivere il codice per non scrivere codice. Questo è il vibe coding, termine la cui paternità viene ricondotta ad Andrej Karpathy, figura nota per le sue attività di ricerca nei campi del Deep learning e della visione artificiale, nonché per via dei trascorsi professionali, tra le altre, presso OpenAI e Tesla.Il vibe coding è una modalità di programmazione con la quale si delega parte (e persino gran parte) del lavoro a un modello AI, descrivendo in linguaggio naturale quali sono gli obiettivi del codice.Una forma di democratizzazione che rende accessibile la programmazione anche a chi non ne ha nozioni sufficienti ma che è lungi dal restituire codice sempre funzionante, sicuro e quindi utilizzabile in modo efficace.Una disciplina giovane e immatura che si porta appresso problemi tali da imporre considerazioni di livello tra governance, cyber security e responsabilità.Indice degli argomenti

Cosa è il vibe codingCome si sta evolvendo il vibe codingIl debito tecnicoEsiste il miglior modello AI per il vibe coding?Uno schema praticoI rischi cyberI rischi visti da vicinoCome riconoscere il vibe codingCome mitigare i rischi del vibe codingGli impatti del vibe coding sul lavoroCosa è il vibe codingIl termine vibe coding richiama un flusso di lavoro in cui l’utente esprime intenti in linguaggio naturale assegnando a un Large Language Model (LLM) il compito di generare codice eseguibile, dando così vita a una pratica che enfatizza rapidità e prototipazione, riducendo la revisione del codice prodotto.Sebbene si tratti di una definizione consolidata nella letteratura tecnica e nei glossari del settore, porta con sé temi che travalicano la scrittura di codice in quanto tale e si affrancano di più ai limiti dei LLM, tra perdita di conoscenza, privacy e security.Argomenti attuali perché il vibe coding sta evolvendo nella forma, nelle capacità e quindi anche nella capillarità con il quale viene usato.Come si sta evolvendo il vibe codingGli esperimenti individuali del debutto sono diventati pratiche adottate dalle aziende che, grazie al vibe coding, portano la programmazione in tutti i reparti aziendali e non più solo tra le fila dei team tecnici.Chief Information Officer (Cio) e Chief Technology Officer (Cto) stanno promuovendo il vibe coding ma solo in presenza di sistemi di governance, di controlli di qualità e di limiti e procedure chiare.Il vibe coding sta diventando un modello operativo che le imprese cercano di mettere a sistema, grazie anche al fatto che, oltre a completare automaticamente il codice, con il passare dei mesi si sono affermati agenti AI che lo scrivono, lo modificano e lo testano.Sul piano della cyber security ci si confronta con un problema duale: i modelli generativi non comprendono cosa voglia dire scrivere codice sicuro, si limitano a produrne di statisticamente plausibile e, in aggiunta, gli agenti AI si portano appresso altri problemi di sicurezza.Una dualità che va approfondita perché può essere fraintesa.Si tratta infatti di una questione di un certo peso, soprattutto alla luce del fatto che esaminando 129mila repository GitHub, uno studio pubblicato a inizio 2026 ed elaborato sulla scorta dei dati del primo semestre del 2025, ha rilevato che gli agenti di coding hanno già raggiunto un tasso di adozione tra il 15,85% e il 22,60%.Cifre che, in assenza di dati più freschi, possiamo immaginare siano cresciute con il passare dei mesi.Parallelamente, le imprese stanno integrando questi strumenti nei processi di governance e GitHub sta introducendo modelli di fatturazione impostati sul consumo degli agenti AI, segno che il loro uso sta diventando strutturale.Il debito tecnicoLa direzione intrapresa è chiara. Si sta passando dallo scrivere codice mediante prompt all’orchestrare squadre di agenti AI che si occupano di sviluppo, testing, revisione del codice e documentazione.Questo panorama fa da sfondo a un’evoluzione che può essere riassunta con l’ausilio di due osservazioni. La prima è il Magic Quadrant di Gartner – l’analisi dei mercati e delle tecnologie della più famosa società di ricerca e consulenza – secondo la quale gli agenti AI per il coding non servono più soltanto agli sviluppatori ma sono sempre più deputati, tra le altre cose, anche alla sicurezza.La seconda osservazione è coadiuvata da un report pubblicato nel 2025 – quindi agli albori del vibe coding – che mette in evidenza come l’aumento della produttività rischia di essere accompagnato da un debito tecnico, tant’è che le attività di manutenzione e revisione del codice richiedono l’impegno di sviluppatori senior. Si produce codice più in fretta ma occorre intervenire per certificarne la bontà, oltre a garantire le attività di manutenzione.Il risultato di tutto ciò è lapidario. Gli sviluppatori si rifiutano di lavorare senza le AI e questa potrebbe essere un’autorete con il passare del tempo, perché aumentano gli errori, i costi e il debito tecnico.Se gli sviluppatori si limitano a validare superficialmente il codice generato, possono progressivamente perdere la capacità di individuare bug, vulnerabilità logiche e problemi architetturali complessi. Questo fenomeno viene spesso definito automation bias: la tendenza a considerare corretto ciò che viene prodotto da un sistema automatizzato.Esiste il miglior modello AI per il vibe coding?Esistono diversi modelli AI per il vibe coding e andrebbero valutati alla luce della governance e della revisione del codice, della scansione automatica o manuale delle vulnerabilità e sulla scorta della trasparenza e del controllo dei dati.Non si può asserire in modo universale quale sia il migliore, tant’è che modelli proprietari come Gpt, Claude o Gemini offrono prestazioni superiori nei compiti complessi mentre, tra i modelli Open source, spiccano quelli che privilegiano la cybersecurity e la compliance, tra questi Code Llama e StarCoer.Le valutazioni comparative e i survey tecnici mostrano le differenze che caratterizzano i tanti modelli disponibili ed è opportuno prenderle in considerazione prima di fare scelte che si possono rivelare perfettibili.Uno schema praticoLe informazioni nella tabella sotto sono da intendere come indicative, poiché risalgono al 2025 e i modelli AI per il vibe coding hanno fatto passi avanti.Va da sé che il quadro tende a migliorare nel tempo.Allo stesso modo, considerando la loro quantità, è impossibile censire i modelli uno per uno.I rischi cyberQuando l’AI genera blocchi di codice sulla base di istruzioni vaghe o intenzioni generali, l’operatore umano tende a fidarsi del risultato senza comprenderne davvero la logica interna.Questa dinamica produce debito tecnico, vulnerabilità non individuate, configurazioni permissive, pattern insicuri replicati in modo sistematico all’interno del codice.Le ricerche più recenti mostrano che gli LLM introducono più errori rispetto al codice scritto manualmente, con una maggiore incidenza di vulnerabilità ad alto impatto e una ripetizione di cattive pratiche che, una volta integrate in un progetto, diventano difficili da rimuovere.Il problema non è solo la qualità del codice generato, ma la perdita di consapevolezza da parte dello sviluppatore, che non riconosce più i rischi e non è in grado di valutarne la portata.In questo scenario, il vibe coding accelera lo sviluppo ma rende l’intero ecosistema software più fragile, perché sposta la responsabilità della sicurezza su un autore, l’AI, che non risponde delle conseguenze e su un revisore umano che spesso non ha gli strumenti per accorgersi dei difetti nascosti.I rischi visti da vicinoUno dei rischi più evidenti riguarda la generazione di software vulnerabili. I modelli AI possono produrre codice funzionante ma tendono a non prendersi la dovuta cura di pericoli quali l’SQL injection, prompt injection e command injection, cross-site scripting (XSS), problemi o errori nella gestione degli accessi.Altro rischio di un certo peso è la diffusione di dipendenze compromesse. Con il vibe coding, infatti, gli sviluppatori tendono a chiedere alle AI di integrare librerie esterne, pacchetti o componenti di terze parti e i modelli possono fare ricorso a software obsoleti o vulnerabili, aprendo così le porte ad attacchi di dependency confusion, scenario nel quale gli attaccanti pubblicano librerie malevole con il medesimo nome di quelle originali mediante le quali eseguire codice arbitrario.Esiste poi il problema delle allucinazioni tecniche. Un modello può inventare API, funzioni, parametri di sicurezza o meccanismi di autenticazione che non esistono realmente. Se tali elementi vengono incorporati nel codice senza verifiche, possono produrre falle di sicurezza, errori applicativi o false convinzioni sulla presenza di controlli che in realtà non esistono.Il vibe coding può inoltre aumentare il rischio di esposizione accidentale di dati sensibili. Gli sviluppatori spesso copiano nei prompt frammenti di codice proprietario, configurazioni interne, log di sistema, credenziali, architetture di rete o documentazione aziendale. Se il servizio AI utilizzato non è adeguatamente governato, tali informazioni potrebbero essere archiviate, elaborate o utilizzate per ulteriori addestramenti, creando potenziali problemi di riservatezza e conformità normativa.La compromissione della supply chain software rappresenta un’altra criticità significativa. Più aumenta l’automazione basata sulle AI e più cresce il numero di componenti che entrano nel progetto senza una revisione approfondita. Un singolo suggerimento errato può propagarsi lungo l’intera catena di sviluppo e distribuzione, amplificando l’impatto di vulnerabilità inizialmente poco evidenti.Il vibe coding può inoltre favorire la creazione involontaria di shadow IT. Dipendenti privi di competenze avanzate possono sviluppare applicazioni interne funzionanti ma prive di adeguati controlli di sicurezza, gestione delle identità, logging, cifratura o monitoraggio. Il risultato è la proliferazione di software aziendale non governato dai team di cybersecurity.Dal punto di vista della compliance, l’uso di codice generato dall’AI può creare incertezze legali e normative. Alcuni modelli sono addestrati su enormi quantità di codice proveniente da fonti diverse e non sempre è semplice stabilire la provenienza esatta di un frammento generato. Ciò può esporre le organizzazioni a controversie relative a licenze software, proprietà intellettuale e obblighi di conformità.Infine, esiste un rischio emergente legato agli agenti AI autonomi utilizzati per programmare, testare e distribuire applicazioni. Se tali sistemi ricevono privilegi eccessivi, un errore di interpretazione o una manipolazione malevola dei prompt potrebbe tradursi nella modifica di repository, configurazioni cloud, pipeline o infrastrutture produttive senza adeguati controlli umani.Come riconoscere il vibe codingNon si tratta di individuare un linguaggio, uno strumento o un framework, quanto di osservare il modo in cui il software viene sviluppato.Un primo segnale è la presenza di codice prodotto molto rapidamente senza una documentazione tecnica proporzionata alla complessità del progetto. Nel vibe coding, infatti, la progettazione dettagliata tende a essere sostituita da una sequenza di prompt, correzioni e richieste rivolte all’AI. Lo sviluppatore descrive il risultato desiderato, valuta l’output e continua a iterare senza necessariamente conoscere ogni dettaglio dell’implementazione.Un secondo elemento caratteristico è l’incoerenza architetturale. Poiché il codice viene generato in blocchi successivi da modelli linguistici, è frequente trovare moduli che seguono convenzioni diverse, funzioni duplicate o nomenclature non uniformi. Un’eterogeneità che è spesso il risultato di numerose interazioni con l’AI anziché di una progettazione orchestrata in modo organizzato.Spostando il focus sulla cyber security, un indicatore rilevante è la presenza di vulnerabilità note che uno sviluppatore esperto avrebbe evitato. Questo perché il codice generato dalle AI può risultare corretto ma non sicuro in assenza di una revisione tanto attenta che solo un operatore umano può garantire.Un altro indizio riguarda il comportamento degli sviluppatori. Se chi mantiene l’applicazione è in grado di spiegare gli obiettivi del software ma fatica a descrivere il funzionamento interno di alcune componenti critiche, è possibile che una parte significativa del codice sia stata prodotta tramite vibe coding.Va però fatta una distinzione importante. Oggi molti professionisti utilizzano AI generativa per scrivere codice senza praticare vero vibe coding. Se il codice viene revisionato, testato, compreso e integrato all’interno di una governance tecnica rigorosa, si parla di AI-assisted coding. Il vibe coding propriamente detto tende invece a privilegiare velocità e sperimentazione rispetto alla comprensione dettagliata del codice prodotto.Esistono anche strumenti forensi e scanner che esaminano pattern, nomi, template e dipendenze per segnalare con quale probabilità un codice è “vibe coded”. Non li citiamo perché non siamo in grado di stabilire con certezza il loro grado di affidabilità.Come mitigare i rischi del vibe codingPer mitigare i rischi derivanti dal vibe coding, le organizzazioni dovrebbero allestire iter di controlli mediante apposite strategie.Sono necessarie procedure per una buona governance, per esempio nominando un responsabile dell’IA che supervisioni l’adozione di queste tecnologie in tutta l’azienda.Un pilastro centrale è l’approccio human-in-the-loop, in cui i risultati prodotti dall’IA vengono trattati come bozze che richiedono di sottostare a revisione umana prima di essere implementati.Le aziende devono inoltre definire un quadro di policy chiaro che stabilisca regole per l’uso accettabile e aspettative di sicurezza sin dalla fase di progettazione, la cosiddetta security-by-design.Dal punto di vista tecnico, è necessario implementare la sanificazione dei prompt e degli input, evitando l’uso di dati sensibili e includendo requisiti di sicurezza espliciti nelle istruzioni fornite all’IA.Il codice generato deve essere sottoposto a test e revisioni rigorose, incluse l’analisi statica e dinamica, oltre alla scansione delle dipendenze per identificare librerie vulnerabili.Infine, per garantire la conformità e la sicurezza a lungo termine, è essenziale mantenere la tracciabilità e l’auditabilità attraverso log chiari e una cronologia delle versioni, integrando i processi di sviluppo basati sull’IA nelle policy di sicurezza esistenti.Gli impatti del vibe coding sul lavoroAltro argomento spinoso che oggi può essere solo lambito perché le previsioni sul medio periodo hanno la tendenza all’errore.Ciò che sappiamo è che l’adozione del vibe coding accelera la produttività e crea nuovi equilibri tra i ruoli, ampliando la domanda di competenze e facendola virare verso l’architettura, la sicurezza e la revisione del codice.Non ci sono elementi tali da lasciare presagire una sostituzione di sviluppatori massiccia e immediata, ma all’orizzonte si sta definendo una ridefinizione delle competenze che può ridisegnare le professioni legate alla scrittura di codice.

Democratico ma anche tanto pericoloso: i dolori del giovane vibe coding - Cyber Security 360

Other newsrooms on this story

Related reading

Vibe coding: i rischi nascosti del codice generato dall'AI - AI4Business

Vibe coding: quando programmare diventa accettare senza capire

Vibe coding: più codice, ma non sempre più valore per le aziende

Vibecoding Sicurezza 2026: Come Proteggere Dati E Privacy Con AI

Michele Catasta, papà del “Vibe coding”: «Programmando con le ‘vibrazioni’,…

Il vibe coding è il nuovo open source, e non è un complimento