Chiunque abbia messo le mani su uno di quegli assistenti alla scrittura del codice basati su intelligenza artificiale — tipo GitHub Copilot, Cursor AI o ChatGPT — sa quanto possano cambiare il modo in cui si lavora. Si scrive più in fretta, si testa prima, ci si affida a suggerimenti che spesso funzionano sorprendentemente bene. Non è un caso se oltre il 76% degli sviluppatori, secondo Stack Overflow, li usa regolarmente, e più dell’80% ne ha tratto benefici concreti.
Il codice che non esiste (ma l’AI te lo consiglia lo stesso)
Ma, come spesso accade, insieme alle opportunità arrivano anche nuove incognite. Una delle più sottili — e potenzialmente pericolose — ha a che fare con un problema che potremmo definire “troppa fiducia nell’AI”. I modelli generativi, quando suggeriscono pacchetti software, a volte… se li inventano. Sì, letteralmente. Creano nomi plausibili, che sembrano veri, ma non esistono. E questi pacchetti fittizi, chiamati “allucinazioni”, stanno diventando una superficie d’attacco inaspettata.
I numeri parlano chiaro: nei modelli open-source, circa il 21% delle raccomandazioni include pacchetti inesistenti. Nei modelli commerciali va un po’ meglio, ma il problema resta. Il punto è che questi nomi sono talmente realistici che anche sviluppatori esperti possono cascarci. E qui entra in gioco una nuova tecnica chiamata slopsquatting: i malintenzionati monitorano i suggerimenti AI, registrano i pacchetti inventati su repository ufficiali, e aspettano che qualcuno — magari in un team di sviluppo che lavora di corsa — li installi per errore.
È già successo. Nel 2023, un ricercatore ha caricato “huggingface-cli” su PyPI, un nome inesistente ma frequentemente consigliato. In pochi giorni, migliaia di download, tra cui aziende come Alibaba. Nessuno si è accorto di nulla. Solo che stavolta era un esperimento. Ma cosa succede se il pacchetto contiene codice malevolo?
La verità è che serve più attenzione. Serve scetticismo. E forse serve anche rimettere un po’ in discussione questa fiducia cieca negli assistenti intelligenti. Perché la velocità è utile, certo, ma non vale molto se nel frattempo lasciamo la porta aperta.
Rimani aggiornato seguendoci su Google News!
