Bilanciare velocità e sicurezza!
Uncategorized
1
Posts
1
Posters
0
Views
-
Bilanciare velocità e sicurezza! Questa la vera sfida del Vibe Coding
Il settore della sicurezza informatica sta vivendo una svolta: l’intelligenza artificiale sta diventando non solo uno strumento per gli sviluppatori, ma anche un’arma per gli aggressori. E di questo ne abbiamo parlato abbondantemente.
Questo concetto è stato portato all‘attenzione da Ami Luttwak, CTO di Wiz, spiegando che le nuove tecnologie ampliano inevitabilmente la superficie di attacco e che l’integrazione dell’IA nei processi aziendali accelera sia lo sviluppo che l’emergere di vulnerabilità.
Secondo Luttwak, accelerare lo sviluppo attraverso il vibe coding e l’integrazione di agenti di intelligenza artificiale spesso porta a bug nei meccanismi principali, come il sistema di autenticazione. Questo perché gli agenti eseguono i compiti assegnati letteralmente e non forniscono sicurezza di default.
Di conseguenza, le aziende sono costrette a bilanciare velocità e sicurezza, e gli aggressori stanno iniziando a sfruttare questo vantaggio. Ora creano exploit utilizzando prompt, gestendo i propri agenti di intelligenza artificiale e persino interagendo direttamente con gli strumenti aziendali, impartendo comandi come “trasferisci tutti i segreti” o “elimina file”.
Le vulnerabilità emergono persino nei servizi di intelligenza artificiale progettati per uso interno. Quando le aziende implementano soluzioni di terze parti per migliorare la produttività dei dipendenti, spesso cadono vittima di attacchi alla supply chain. È successo a Drift, una startup che offre chatbot per le vendite e il marketing. Una compromissione ha permesso all’azienda di ottenere token di accesso Salesforce da centinaia di clienti, tra cui Cloudflare, Google e Palo Alto Networks. Gli aggressori si sono mascherati da chatbot e hanno navigato nell’infrastruttura dei clienti, richiedendo dati ed espandendo il loro raggio d’azione.
Uno scenario simile è stato osservato nell’operazione s1ingularity contro il sistema di build Nx. Gli aggressori hanno iniettato codice dannoso che ha rilevato l’uso di strumenti di intelligenza artificiale come Claude e Gemini, reindirizzandoli poi alla ricerca autonoma di dati preziosi. Di conseguenza, sono stati rubati migliaia di token e chiavi, dando accesso a repository GitHub privati.
Sebbene Wiz stimi che solo l’1% delle aziende abbia integrato completamente l’intelligenza artificiale nei propri processi, gli attacchi vengono registrati ogni settimana e colpiscono migliaia di clienti. L’intelligenza artificiale è coinvolta in ogni fase della catena di attacco, dalla creazione di exploit all’avanzamento occulto all’interno dei sistemi.
Secondo Luttwak, l’obiettivo dei difensori ora è comprendere lo scopo delle applicazioni dei clienti e costruire una sicurezza orizzontale su misura per le esigenze specifiche di ogni azienda. Ha sottolineato che le startup che lavorano con i dati aziendali devono dare priorità alla sicurezza fin dal primo giorno.
Il set minimo include la nomina di un CISO, l’implementazione di registri di audit, un’autenticazione avanzata, il controllo degli accessi e il Single Sign-On.
Ignorare questi requisiti porta al cosiddetto “debito di sicurezza”, per cui le aziende inizialmente trascurano la sicurezza ma alla fine sono costrette a riprogettare tutti i loro processi per soddisfare gli standard attuali, il che è sempre difficile e costoso.
Luttwak ha posto particolare enfasi sull’architettura. Per una startup di intelligenza artificiale rivolta al mercato aziendale, è fondamentale considerare inizialmente la possibilità di archiviare i dati all’interno dell’infrastruttura del cliente. Questo non solo aumenta la fiducia, ma riduce anche il rischio di compromissioni su larga scala.
Luttwak ritiene che oggi tutti i settori siano accessibili alle startup informatiche, dalla protezione anti-phishing agli endpoint, fino all’automazione dei processi basata sull’intelligenza artificiale.
Tuttavia, ciò richiede una nuova mentalità: difendersi dagli attacchi che si basano sull’intelligenza artificiale tanto quanto lo fanno i difensori.
L'articolo Bilanciare velocità e sicurezza! Questa la vera sfida del Vibe Coding proviene da il blog della sicurezza informatica.
Feed RSS
Gli ultimi otto messaggi ricevuti dalla Federazione
-
@DarioZanette ah per quello, MAMiL come se piovesse, tra l'altro odiati da pedoni ed altri ciclisti urbani tanto quanto dagli automobilisti.
-
GIORNATA DI ARTIVISMO
Domenica 22 marzo, dalle 14:30 alle 23:00, presso LOCK - Laboratorio Occupato Kasciavìt, Via San Faustino 62, Milano
UNA GIORNATA DI ARTIVISMO
🗓️ (questa) Domenica 22 marzo dalle 14:30 alle 23
📍@collettivo_kasciavit - Via S. Faustino 62 - in occasione del Mercato Lockale
Dove siamo? Come stiamo? Cosa desideriamo?
Come rete di Artivismo ci siamo posti queste e altre domande per creare insieme una giornata dedicata all’Arte resistente dove condividere pratiche e parlare di espressione, dissenso creativo, utopie e immaginazione.
Nel corso del pomeriggio, fino a tarda sera, si alterneranno reti, collettivi e artistə che abitano le arti con valenza politica: dalla fotografia al fumetto, dal rap all’electropunk, dal teatro alla poesia.
✨ Con Andrea Bellaroto · Apollineo · ArT* Festival · Casa per la Pace · Freevan · Hurricane Ivan · Inmotulus · Kamera Lab · Mattia L. · Nebüla · No Kings Milano · RAVE OVER · Rete No CPR · Rocks Against Fascism · Scate · Tempi DiVersi · Timidoceleste · Una Finestra Sbagliata
🍽️ Fermati a cena! Troverai un apertivo/cena vegan per smangiucchiare tutto il pomeriggio, a sostegno delle spese dellə artistə e dei collettivi presenti.
Ti aspettiamo!
🎨 @grafica_x e @ele_vi
#musica #mercatino #laboratorio #interventi #intersezionalità #fotografia #MusicaLive #Poesia #Teatro #banchetti
-
@RnDanger @tess that's a good idea, «How much care goes into avoiding strain on the affected part.» as a gauge of the pain (at least where possible, so not for teeth abscesses, probably, but now that you make me think about it it's probably why I decided to go get an Xray of the wrist when I fell down skating).
-
@oblomov @tess
When they ask me my pain level i consider what I'm actually doing to avoid pain, because I'm really good at avoiding pain as long as i don't have to do life things. Like when I'm at the doctor instead of at work.
I can devote my entire attention to diminishing the pain response and think I'm fine when clearly I'm not. I'm not fine, or i would have brought myself to the doctor, actually
-
@maudel l'Europa risponde con un latinissimo e romano "digitus impudicus" 🙂
-
Cesare: il dado è tratto!
Legionario: santi numi, anche oggi brodo!?
-
@tess I think I'm in a similar situation concerning pain levels (at least according to the opinions of my doctor and my dentist), but I don't do contact sport. Can I use that as an excuse now?
-
- Marescia' ci hanno rubato la gazzella!
- Ma porc... Ma come si fa? E non avete fatto niente!?
- Niente paura, marescia', abbiamo preso il numero di targa!
