Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- L’intelligenza artificiale si sta dimostrando migliore del previsto nel trovare bug vecchi e oscuri.
- Sfortunatamente, l’intelligenza artificiale è anche brava a trovare bug che gli hacker possono sfruttare.
- In breve, l’intelligenza artificiale non è ancora pronta per sostituire i programmatori o i professionisti della sicurezza.
In un recente LinkedIn publish, il CTO di Microsoft Azure Mark Russinovich ha affermato di aver utilizzato il nuovo modello di intelligenza artificiale di Anthropic, Claude Opus 4.6, per leggere e analizzare il codice meeting che aveva scritto nel 1986 per il processore Apple II 6502.
Inoltre: perché l’intelligenza artificiale è sia una maledizione che una benedizione per il software program open supply, secondo gli sviluppatori
Claude non si è limitato a spiegare il codice; ha eseguito quello che ha chiamato a “controllo di sicurezza” emergono sottili errori logici, incluso un caso in cui una routine non è riuscita a controllare il flag di riporto dopo un’operazione aritmetica.
Questo è un classico bug che è rimasto nascosto, dormiente, per decenni.
La buona notizia e la cattiva notizia
L’esperimento di Russinovich è sorprendente perché il codice è antecedente ai linguaggi, ai framework e alle guidelines di sicurezza di oggi. Tuttavia, l’intelligenza artificiale è stata in grado di ragionare sul flusso di controllo di basso livello e sui flag della CPU per evidenziare i difetti reali. Per gli sviluppatori veterani, è un promemoria che basi di codice di lunga durata possono ancora contenere bug con cui gli strumenti e gli sviluppatori convenzionali hanno imparato a convivere.
Inoltre: 7 tecniche di codifica AI che utilizzo per spedire prodotti reali e affidabili, velocemente
Eppure, nonostante i progressi, alcuni esperti ritengono che questo esperimento sollevi preoccupazioni.
Come ha detto Matthew Trifiro, un ingegnere veterano del go-to-market: “Oh mio Dio, ho capito bene? la superficie di attacco è stata appena ampliata per includere ogni binario compilato mai spedito. Quando l’intelligenza artificiale riesce a decodificare architetture vecchie di 40 anni e oscurate così bene, gli attuali approcci di offuscamento e sicurezza attraverso l’oscurità sono essenzialmente inutili”.
Trifiro fa il punto. Da un lato, l’intelligenza artificiale ci aiuterà a trovare i bug in modo da poterli risolvere. Questa è la buona notizia. D’altro canto, ed ecco la brutta notizia, l’intelligenza artificiale può anche penetrare in programmi ancora in uso a cui non vengono più applicate patch o supportati.
Come Adedeji Olowe, fondatore di Prestitoqrha sottolineato: “Questo è più spaventoso di quanto lasciamo intendere. Esistono miliardi di microcontrollori legacy a livello globale, molti dei quali probabilmente utilizzano firmware fragili o scarsamente controllati come questo.”
Inoltre: il nuovo pc di Perplexity è una versione più sicura di OpenClaw? Come funziona
Ha continuato: “La vera implicazione è che i malintenzionati possono inviare modelli come Opus contro di loro per trovare sistematicamente le vulnerabilità e sfruttarle, mentre molti di questi sistemi sono effettivamente irreparabili”.
LLM che integrano gli strumenti di rilevamento
Strumenti tradizionali di analisi statica come SpotBugs, CodiceQLE Codice Snyk scansiona il codice sorgente per individuare modelli associati a bug e vulnerabilità. Questi strumenti eccellono nel rilevare problemi ben compresi, come dereferenziazioni di puntatori null, modelli di iniezione comuni e uso improprio delle API, e lo fanno su larga scala su grandi codebase Java e altri linguaggi.
Adesso è diventato chiaro i modelli linguistici di grandi dimensioni (LLM) possono integrare questi grandi strumenti di rilevamento. Nell’a Uno studio comparativo del 2025, LLM come GPT-4.1, Mistral Large e DeepSeek V3 si sono rivelati efficaci quanto gli analizzatori statici standard del settore nel trovare bug in più progetti open supply.
Inoltre: questo nuovo strumento Claude Code Evaluation utilizza agenti AI per verificare la presenza di bug nelle richieste pull: ecco come
Come lo fanno questi modelli? Invece di chiedere: “Questa linea viola la regola X?”, LLM si sta effettivamente chiedendo: “Dato ciò che questo sistema dovrebbe fare, dove sono le modalità di fallimento e i percorsi di attacco?” Combinato, questo approccio costituisce un potente abbinamento.
Per esempio, Claude Opus 4.6 AI di Anthropic sta aiutando a ripulire il codice open source di Firefox. Secondo Mozilla, Il Frontier Red Team di Anthropic ha riscontrato bug di maggiore gravità in Firefox in sole due settimane rispetto a quanto le persone in genere riportano in due mesi. Mozilla ha proclamato: “Questo è prova evidente che l’analisi su larga scala assistita dall’intelligenza artificiale è una nuova potente aggiunta alla sicurezza la cassetta degli attrezzi degli ingegneri.”
Anthropic non è l’unica organizzazione che utilizza motori di intelligenza artificiale per trovare bug nel codice. Il segnale dell’anatra nera Il prodotto, advert esempio, combina più LLM, server MCP (Mannequin Context Protocol) e agenti AI per analizzare autonomamente il codice in tempo reale, rilevare vulnerabilità e proporre soluzioni.
Anche: Ho usato Claude Code per codificare un’app Mac in 8 ore, ma è stato più lavoro che magia
Nel frattempo, consulenze sulla sicurezza, come Gruppo NCCstanno sperimentando plug-in basati su LLM per strumenti di reverse engineering del software program, come Ghidraper aiutare a scoprire problemi di sicurezza, inclusi potenziali overflow del buffer e altri problemi di sicurezza della memoria che possono essere difficili da individuare.
Passare i controlli di sicurezza all’IA
Questi successi non significano che siamo pronti a passare i nostri controlli di sicurezza all’intelligenza artificiale. Lontano da ciò.
Anche: Ho provato a risparmiare $ 1.200 codificando gratuitamente Vibe e me ne sono subito pentito
I ricercatori hanno scoperto che la ricerca di bug basata su LLM non è un sostituto immediato per le pipeline di analisi statica mature. Gli studi che confrontano gli agenti di codifica dell’intelligenza artificiale con gli sviluppatori umani mostrano che, sebbene l’intelligenza artificiale possa essere prolifica, introduce anche difetti di sicurezza a tassi più elevati, inclusa la gestione non sicura delle password e riferimenti a oggetti non sicuri.
CodeRabbit ha scoperto “che ci sono alcuni bug che gli esseri umani creano più spesso e altri che l’intelligenza artificiale crea più spesso. Advert esempio, gli esseri umani creano più errori di battitura e codici difficili da testare rispetto all’intelligenza artificiale. Ma nel complesso, L’intelligenza artificiale ha creato 1,7 volte più bug degli esseri umani.
Gli strumenti di generazione del codice promettono velocità ma vengono inciampati dagli errori che introducono. Non si tratta solo di piccoli bug: l’intelligenza artificiale ha creato 1,3-1,7 volte più problemi critici e importanti.”
Inoltre: implementare l’intelligenza artificiale? 5 tattiche di sicurezza che la tua azienda non può sbagliare e perché
Puoi anche chiedere a Daniel Stenberg, creatore del popolare programma di trasferimento dati open supply arricciare. Si è lamentato a gran voce e legittimamente che il suo progetto è stato inondato rapporti sulla sicurezza fasulli scritti dall’intelligenza artificiale che affogano i manutentori in inutili lavori impegnativi.
La morale della storia
L’intelligenza artificiale, nelle mani giuste, è un ottimo assistente, ma non è pronta per essere un ottimo programmatore o un controllore di sicurezza. Forse un giorno, ma non oggi. Quindi, usa attentamente l’intelligenza artificiale con gli strumenti esistenti e i tuoi programmi saranno molto più sicuri di quanto non lo siano attualmente.
Per quanto riguarda il vecchio codice, beh, è una vera preoccupazione. Prevedo che le persone sostituiranno i dispositivi basati su firmware a causa dei timori realistici che verranno presto compromessi.
