Con due balzi del +32% e + 52% negli ultimi due anni, secondo gli osservatori del Politecnico di Milano, l’intelligenza artificiale ha messo il turbo nel mercato italiano e ci ha spinto ad aumentare la produzione. Per accelerare questo processo, si sono poi aggiunti i Large language model e software open-source intelligenti talmente comodi e semplici da utilizzare, da farci dimenticare di stare attenti alla sicurezza.
Il seguito di questa storia è scritto nel report State of software security 2023 di Veracode, società di cybersecurity, nel quale si menziona “un’iperproliferazione di vulnerabilità“ registrata soprattutto in Europa, Medio Oriente e Africa. L’80% delle applicazioni sviluppate in quest’area, infatti, contiene delle falle nella sicurezza e, quasi il 20%, ne ha di elevata gravità con un potenziale impatto su migliaia di vittime contemporaneamente.
Quando l’AI scrive codice
A guardare questo scenario si può provare a identificarne le cause assieme al nuovo ad Brian Roche che durante il suo tour in Europa ha incontrato Wired. “Le vulnerabilità crescono con la presenza sempre maggiore di codice generato dall’AI – spiega -. Black Hat nel 2022 ha identificato falle nel 40% dei casi analizzati, lanciando un chiaro alert anche su quello sviluppato da esterni”. Un segnale che l’Europa sembra aver ignorato, a leggere il report di Veracode, continuando a utilizzare in massa Java, nonostante, le applicazioni scritte con questo linguaggio di programmazione mostrino una presenza massiccia di codice di terze parti o open-source (95%).
Non è tutta colpa di Java però: “C’è un aumento generale dei rischi cyber in tutto il mondo, innescato dall’arrivo dell’AI generativa”, afferma Roche. Nelle mani dei criminali informatici, questa tecnologia infatti amplifica la portata degli attacchi di social engineering, ne velocizza e ne facilita la preparazione e ne aumenta l’efficacia. “Mai come oggi, assistiamo a casi di phishing e di compromissione delle email aziendali ingannevoli anche per chi ha l’occhio più attento”, ammette Roche.
I settori più a rischio sono sempre i soliti – energia, finanza e istituzioni – ma “tutte le aziende devono migliorare la sicurezza sfruttando gli strumenti di analisi di cui si compone il software e concentrandosi sul codice sviluppato da esterni” continua Roche. Questa sua raccomandazione “teorica” è solo un preambolo per poi indicare come vuole cambiare il paradigma della sicurezza di Veracode, dell’Europa e anche dell’Italia.
Fonte : Wired
