Settimana di Realtà: Il Coding con AI Sbatte contro il Muro della Sicurezza

L'ultima settimana di aprile 2026 ha dato una sveglia dura a chi usa AI per sviluppare codice. Abbiamo creato strumenti potenti. Ma la sicurezza? Ancora lontana. Cinque annunci chiave e studi recenti mostrano un ecosistema che corre veloce sull'innovazione, ma accumula debiti di sicurezza.

I Numeri che Fanno Paura

Partiamo dal dato che toglie il sonno: il 20% delle app reali fatte con tool AI ha problemi di sicurezza gravi. Non è teoria. Sono in produzione ora, dice la ricerca Wiz presentata a Google Cloud Next.

"Seri" significa accessi rotti, endpoint che espongono dati, credenziali che finiscono nel codice generato. Migliaia di app ereditano queste falle dai loro "colleghi" AI.

E il peggio? Quel 20% potrebbe essere troppo ottimista. Studi indipendenti parlano di percentuali peggiori.

Lo Studio che Svela Tutto: Solo il 23,8%

SecureVibeBench ha testato 105 sfide di coding su vulnerabilità reali da OSS-Fuzz. L'AI doveva risolvere il problema senza ripetere l'errore che aveva generato un CVE.

Cinque agenti AI in gara: OpenHands, Claude Sonnet 4.5 e altri. Il migliore? 23,8% di soluzioni funzionanti e sicure.

Il resto, 76,2%, ha prodotto codice che non gira, o ha reinserito la vulnerabilità, o entrambi.

Non è un trucco. Hanno usato fuzzing vero, analisi dinamica. Bug reali: overflow interi, buffer mal gestiti, race condition. Quelli che diventano CVE.

Perché Succede Questo

La settimana ha mostrato un trend. Wiz integra scanner negli IDE. Red Gate analizza cinque errori tipici nel codice database AI, citando il disastro Replit. Lovable ammette il 10% di issues nel suo codice auto-generato.

Chi usa AI non nega il problema. Lo affronta con controlli.

Ma c'è disparità. Grandi come Wiz, Red Gate, Vercel aggiungono scan e policy. E il founder solo con Cursor sul side project? O il CEO non-tech che codifica tool interni?

(A proposito: The New Stack ha intervistato executive che fanno "sviluppo solo LLM". Un CEO ha un BBS su 23MB RAM, zero incidenti da un anno. Vero. Ma è la norma o il caso fortunato?)

Il Modello di Fiducia che Crolla

Forrester, in un report fresco, vede la breach Vercel/Context.ai come sintomo. Non incidente isolato, ma falla nei modelli di responsabilità condivisa. Colpa di scelte come etichette "sensitive" opzionali per variabili.

Punto chiave: la sicurezza perimetrale SaaS è illusione. Piattaforme che mixano generazione codice AI, storage segreti e log creano confini fidati solo sulla carta.

Cosa Cambia per il Tuo Stack

Usi AI per codificare? Questa settimana cambia prospettiva:

1. Tratta il codice AI come buggy. Testalo come faresti con un junior. SAST, analisi dinamica, fuzzing.

2. Mappa i tuoi tool AI. L'AI-BOM di Wiz è essenziale. Traccia modelli, framework, estensioni IDE. Claude, Copilot, Cursor, Gemini: profili di sicurezza diversi.

3. Respingi i default deboli. Etichette manuali per variabili sensibili? Rosso. Sicurezza deve essere automatica, non opzionale. Idem per scan su codice AI.

4. Preparati al 76%. Con il 23,8% di successi, abbina AI a review, analisi statica, hardening runtime. Non fidarti solo dell'AI.

5. Priorità per aree critiche. Database, auth, API: qui un errore AI fa danni enormi. Blocca prima.

La Visione Positiva

Non è un no all'AI. CEO come Moshe Bar con sviluppo LLM-only, o test A/B di OutSystems, dimostrano che accelera senza perdere qualità. Se lo progetti bene.

Significa:

• Scanner sicurezza nell'IDE pre-commit
• Remediation automatica via estensioni
• Inventario live di modelli AI
• Test uguali a dipendenze esterne
• Pressione sui vendor per sicurezza di default

Red Agent di Wiz, analisi Red Gate, benchmark SecureVibeBench non sono allarmismi. Sono basi che dovevamo fare. Solo che ora le costruiamo dopo aver dato AI a milioni di dev.

Trend della settimana: risveglio tardivo, fix rapidi. Quante app nel frattempo porteranno quel 20% di falle in produzione?

In Sintesi

Wiz a Google Cloud Next: Stack in tre: Red Agent (test offensivi), AI-BOM (tracciamento modelli), scan inline su codice Lovable. Remediation native in Claude Code e Cursor. 20% app AI con issues gravi.

SecureVibeBench: 105 sfide C/C++ da 41 progetti OSS-Fuzz. Codice funzionale e sicuro? Top 23,8%. Il resto fallisce o ripete CVE.

Analisi Red Gate su Database: Cinque pattern critici in codice AI. Esempi: cancellazione Replit, 10% issues Lovable.

CEO all'AI: Codenotary ha BBS con 500 user, 23MB RAM, zero problemi. OutSystems testa piattaforma vs Claude.

Forrester sul Crollo Fiducia: Breach Vercel/Context.ai uccide il perimetro SaaS. Mix code gen, segreti, log rompe responsabilità condivisa.

Questa settimana conferma: coding AI è qui, produttivo. Impariamo a securizzarlo, a volte a caro prezzo.