Bilanciare velocità e sicurezza!
Uncategorized
1
Posts
1
Posters
0
Views
-
Bilanciare velocità e sicurezza! Questa la vera sfida del Vibe Coding
Il settore della sicurezza informatica sta vivendo una svolta: l’intelligenza artificiale sta diventando non solo uno strumento per gli sviluppatori, ma anche un’arma per gli aggressori. E di questo ne abbiamo parlato abbondantemente.
Questo concetto è stato portato all‘attenzione da Ami Luttwak, CTO di Wiz, spiegando che le nuove tecnologie ampliano inevitabilmente la superficie di attacco e che l’integrazione dell’IA nei processi aziendali accelera sia lo sviluppo che l’emergere di vulnerabilità.
Secondo Luttwak, accelerare lo sviluppo attraverso il vibe coding e l’integrazione di agenti di intelligenza artificiale spesso porta a bug nei meccanismi principali, come il sistema di autenticazione. Questo perché gli agenti eseguono i compiti assegnati letteralmente e non forniscono sicurezza di default.
Di conseguenza, le aziende sono costrette a bilanciare velocità e sicurezza, e gli aggressori stanno iniziando a sfruttare questo vantaggio. Ora creano exploit utilizzando prompt, gestendo i propri agenti di intelligenza artificiale e persino interagendo direttamente con gli strumenti aziendali, impartendo comandi come “trasferisci tutti i segreti” o “elimina file”.
Le vulnerabilità emergono persino nei servizi di intelligenza artificiale progettati per uso interno. Quando le aziende implementano soluzioni di terze parti per migliorare la produttività dei dipendenti, spesso cadono vittima di attacchi alla supply chain. È successo a Drift, una startup che offre chatbot per le vendite e il marketing. Una compromissione ha permesso all’azienda di ottenere token di accesso Salesforce da centinaia di clienti, tra cui Cloudflare, Google e Palo Alto Networks. Gli aggressori si sono mascherati da chatbot e hanno navigato nell’infrastruttura dei clienti, richiedendo dati ed espandendo il loro raggio d’azione.
Uno scenario simile è stato osservato nell’operazione s1ingularity contro il sistema di build Nx. Gli aggressori hanno iniettato codice dannoso che ha rilevato l’uso di strumenti di intelligenza artificiale come Claude e Gemini, reindirizzandoli poi alla ricerca autonoma di dati preziosi. Di conseguenza, sono stati rubati migliaia di token e chiavi, dando accesso a repository GitHub privati.
Sebbene Wiz stimi che solo l’1% delle aziende abbia integrato completamente l’intelligenza artificiale nei propri processi, gli attacchi vengono registrati ogni settimana e colpiscono migliaia di clienti. L’intelligenza artificiale è coinvolta in ogni fase della catena di attacco, dalla creazione di exploit all’avanzamento occulto all’interno dei sistemi.
Secondo Luttwak, l’obiettivo dei difensori ora è comprendere lo scopo delle applicazioni dei clienti e costruire una sicurezza orizzontale su misura per le esigenze specifiche di ogni azienda. Ha sottolineato che le startup che lavorano con i dati aziendali devono dare priorità alla sicurezza fin dal primo giorno.
Il set minimo include la nomina di un CISO, l’implementazione di registri di audit, un’autenticazione avanzata, il controllo degli accessi e il Single Sign-On.
Ignorare questi requisiti porta al cosiddetto “debito di sicurezza”, per cui le aziende inizialmente trascurano la sicurezza ma alla fine sono costrette a riprogettare tutti i loro processi per soddisfare gli standard attuali, il che è sempre difficile e costoso.
Luttwak ha posto particolare enfasi sull’architettura. Per una startup di intelligenza artificiale rivolta al mercato aziendale, è fondamentale considerare inizialmente la possibilità di archiviare i dati all’interno dell’infrastruttura del cliente. Questo non solo aumenta la fiducia, ma riduce anche il rischio di compromissioni su larga scala.
Luttwak ritiene che oggi tutti i settori siano accessibili alle startup informatiche, dalla protezione anti-phishing agli endpoint, fino all’automazione dei processi basata sull’intelligenza artificiale.
Tuttavia, ciò richiede una nuova mentalità: difendersi dagli attacchi che si basano sull’intelligenza artificiale tanto quanto lo fanno i difensori.
L'articolo Bilanciare velocità e sicurezza! Questa la vera sfida del Vibe Coding proviene da il blog della sicurezza informatica.
Feed RSS
Gli ultimi otto messaggi ricevuti dalla Federazione
-
Mannaggia mannaggia
Il governo ha rinviato la costruzione del Ponte sullo Stretto al 2034 - L'INDIPENDENTE
> Il governo Meloni mette nuovamente mano al Ponte sullo Stretto. Lo fa allungando i tempi e fissando la nuova data della messa in funzione al 2034, un anno in più rispetto alle ultime stime. Dal 2026 al 2029 l'opera sponsor del Ministro delle Infrastrutture e dei Trasporti Matteo Salvini verrà anche
-
@quinn boosted!
-
Office EU, la suite cloud open source europea sfida Microsoft 365
https://www.ilsoftware.it/office-eu-la-suite-cloud-open-source-europea-sfida-microsoft-365/
> Office EU è la nuova suite cloud open source europea che punta a sostituire Microsoft 365 e Google Workspace con infrastruttura europea.
-
The kind of story that makes you wonder what made me like this.
-
RE: https://social.circl.lu/@quinn/116240177335095121
Imma keep talking about this until y'all read it and discuss it with me. *poke poke poke*
Content warning: um yeah it's one of *those* stories.
-
@fabriziob io invece invidio te che vivi nel nord Europa :)
-
-
La manovra di UniCredit su Commerz, in dettaglio. Superare il 30%, e poi procedere verso l'obiettivo del controllo. Si attende reazione del governo tedesco, magari chiederanno lumi a quello italiano, che ha una certa expertise.
Orcel’s brash M&A tactics inch UniCredit closer to success https://www.ft.com/content/d0b23509-7189-4fd4-804d-6abd40cdbde0
