C’è stato un momento, all’inizio di questo mese, in cui Amazon ha avuto un bel grattacapo. E no, non si tratta di un pacco smarrito o di un problema con Alexa, ma di qualcosa di molto più serio: un hacker è riuscito a infilare del codice malevolo all’interno di Amazon Q, l’assistente di programmazione basato su intelligenza artificiale. Il codice è finito dritto dritto nella sua estensione per Visual Studio Code, usata da quasi un milione di sviluppatori.
Open source e AI: il rischio di pull request approvate in fretta
Ora, per fortuna non è successo nulla di irreparabile. Nessun server esploso, nessun sistema andato in tilt. Ma il potenziale c’era, eccome. Quel codice nascosto dentro la versione 1.84.0 dell’estensione dava istruzioni all’AI per “ripulire” un sistema, eliminare file importanti e persino risorse cloud. In pratica, se fosse stato eseguito, avrebbe potuto fare una vera e propria strage digitale.
Il punto interessante? Amazon non si è accorta di nulla, almeno all’inizio. Nessun annuncio, nessun allarme. È stato lo stesso hacker a sollevare il polverone, spiegando che il suo gesto voleva essere una dimostrazione, una provocazione per far riflettere sul livello — anzi, sulla superficialità — delle attuali misure di sicurezza. Le ha chiamate “security theater”: cioè una messa in scena che sembra rassicurante, ma che in realtà non protegge davvero.
E in effetti qualcosa non ha funzionato. Quel codice è passato attraverso una pull request su GitHub, approvata come se fosse un aggiornamento qualsiasi. Nessuno si è accorto che conteneva un prompt potenzialmente distruttivo. Nessun controllo umano o automatizzato ha fatto scattare un allarme.
Amazon ha poi corso ai ripari: ha ritirato la versione infetta, bloccato le credenziali compromesse e pubblicato una nuova release (1.85.0) invitando tutti ad aggiornare. Ha anche rassicurato che il codice, in teoria, non sarebbe nemmeno stato eseguito a causa di un errore. Ma il punto non è se avrebbe funzionato: il punto è che ci è arrivato così vicino da finire in produzione.
È un episodio che fa riflettere. Non tanto sull’open source in sé — che resta una risorsa straordinaria — ma su come viene gestito. Quando si mettono strumenti così potenti nelle mani degli sviluppatori, e quando si lascia che l’intelligenza artificiale partecipi attivamente al flusso di lavoro, serve un livello di attenzione altissimo. Perché la differenza tra un assistente brillante e una bomba a orologeria può stare tutta in una pull request approvata con troppa leggerezza.
