Veracode, un leader globale nella gestione del rischio applicativo, oggi ha presentato il suo 2025 GenAI Code Security Report, che rivela lacune di sicurezza critiche nei codici generati dall'AI. Lo s...

L'analisi completa di più di 100 modelli linguistici di grandi dimensioni espone lacune di sicurezza: Java emerge come il linguaggio di programmazione a rischio più elevato, mentre l'AI non rileva l'86% delle minacce di cross-site scripting

BURLINGTON, Mass.: Veracode, un leader globale nella gestione del rischio applicativo, oggi ha presentato il suo 2025 GenAI Code Security Report, che rivela lacune di sicurezza critiche nei codici generati dall'AI. Lo studio ha analizzato 80 task di codifica curati in più di 100 modelli linguistici di grandi dimensioni (LLM), rivelando che mentre l'AI produce un codice funzionale, introduce vulnerabilità alla sicurezza nel 45 percento dei casi.

Lo studio dimostra un pattern preoccupante: davanti alla scelta tra un metodo sicuro e uno non sicuro di scrivere il codice, i modelli GenAI scelgono l'opzione non sicura il 45 percento del tempo. Forse ancora più preoccupante è il fatto che lo studio di Veracode ha anche scoperto una tendenza critica: nonostante i progressi nella capacità degli LLM di generare un codice sintatticamente corretto, le prestazioni di sicurezza sono rimaste le stesse, inalterate nel tempo.

“L'aumento del vibe coding, dove gli sviluppatori si affidano all'AI per generare un codice, tipicamente senza definire in modo chiaro i requisiti di sicurezza, rappresentano un cambiamento radicale nel modo in cui viene creato il software”, ha dichiarato Jens Wessling, Chief Technology Officer di Veracode. “Questa tendenza è preoccupante principalmente perché non necessitano di specificare i limiti di sicurezza per ottenere il codice desiderato, lasciando praticamente le decisioni di codifica sicura in mano agli LLM. Il nostro studio rivela che i modelli GenAI prendono le decisioni sbagliate quasi la metà del tempo, e la tendenza non mostra alcun miglioramento”.

L'AI permette agli hacker di identificare e utilizzare le vulnerabilità della sicurezza in modo più rapido ed efficiente. Gli strumenti alimentati dall'AI possono scansionare i sistemi su scala, identificare punti deboli, e perfino generare codici di utilizzo con il minimo intervento umano. Questo abbassa la barriera all'ingresso per gli hacker meno esperti e aumenta la velocità e il livello di sofisticazione degli attacchi, ponendo una minaccia notevole alle tradizionali difese della sicurezza. Le vulnerabilità non stanno solo aumentando, ma sta diventando anche più facile la capacità di sfruttarle.

Gli LLM introducono livelli pericolosi di vulnerabilità comuni alla sicurezza

Per valutare le proprietà della sicurezza del codice generato dagli LLM, Veracode ha progettato una serie di 80 task per il completamento di un codice con nota potenzialità di vulnerabilità della sicurezza, secondo il sistema MITRE Common Weakness Enumeration (CWE), una classificazione standard di punti deboli del software che possono diventare vulnerabilità. I task hanno chiesto a più di 100 LLM di autocompilare un blocco di codice in modo sicuro o non sicuro, che il team di ricerca ha quindi analizzato utilizzando Veracode Static Analysis. Nel 45 percento di tutti i casi di prova, gli LLM hanno introdotto vulnerabilità classificate tra i primi 10 OWASP (Open Web Application Security Project), i rischi più critici per la sicurezza delle applicazioni web.

Veracode ha determinato che Java era il linguaggio più rischioso per la generazione AI del codice, con un indice di fallimento della sicurezza oltre il 70 percento. Gli altri linguaggi principali, come Python, C# e JavaScript, hanno comunque presentato rischi notevoli, con indici di fallimento compresi tra il 38 e il 45 percento. Lo studio ha inoltre rivelato che gli LLM non sono riusciti a proteggere il codice dal cross-site scripting (CWE-80) e dalla log injection (CWE-117) rispettivamente nell'86 percento e nell'88 percento dei casi.

“Nonostante i progressi nello sviluppo assistito dall'AI, è chiaro che la sicurezza non è andata di pari passo”, ha dichiarato Wessling. “Il nostro studio rivela che i modelli stanno migliorando la codifica precisa ma non stanno migliorando in termini di sicurezza. Abbiamo anche scoperto che le prestazioni dei modelli di più grandi dimensioni non sono significativamente superiori, il che fa pensare che si tratti di un problema sistemico più che di scalabilità degli LLM”.

La gestione dei rischi applicativi nell'era dell'AI

Se da una parte accelerano la produttività, le pratiche di sviluppo della GenAI come il vibe coding amplificano anche i rischi. Veracode sottolinea il fatto che le organizzazioni hanno bisogno di un programma completo di gestione del rischio che previene le vulnerabilità prima che queste raggiungano la produzione, integrando controlli di qualità del codice e correzioni automatiche direttamente nel flusso di lavoro dello sviluppo.

Mentre le organizzazioni utilizzano sempre più spesso lo sviluppo alimentato dall'AI, Veracode consiglia di prendere le seguenti misure proattive per garantire la sicurezza:

Integrare strumenti su base AI come Veracode Fix nei flussi di lavoro degli sviluppatori per rimediare i rischi di sicurezza in tempo reale.

come nei flussi di lavoro degli sviluppatori per rimediare i rischi di sicurezza in tempo reale. Utilizzare Static Analysis per rilevare tempestivamente e automaticamente i guasti, impedendo al codice vulnerabile di avanzare nelle pipeline dello sviluppo.

per rilevare tempestivamente e automaticamente i guasti, impedendo al codice vulnerabile di avanzare nelle pipeline dello sviluppo. Integrare la sicurezza nei flussi di lavoro agentici per automatizzare la conformità con la politica e assicurare che gli agenti AI tutelino gli standard di codifica sicura.

per automatizzare la conformità con la politica e assicurare che gli agenti AI tutelino gli standard di codifica sicura. Utilizzare Software Composition Analysis (SCA) per assicurare che il codice generato dall'AI non introduca vulnerabilità da dipendenze di terze parti e componenti open-source.

per assicurare che il codice generato dall'AI non introduca vulnerabilità da dipendenze di terze parti e componenti open-source. Adottare una linea guida al rimedio personalizzata a su base AI per dare agli sviluppatori istruzioni precise sulle correzioni e addestrarli a usare le raccomandazioni in modo efficace.

per dare agli sviluppatori istruzioni precise sulle correzioni e addestrarli a usare le raccomandazioni in modo efficace. Installare un Package Firewall per rilevare e bloccare automaticamente pacchetti nocivi, vulnerabilità e violazioni delle politiche.

“Gli assistenti AI per la codifica e i flussi di lavoro agentici rappresentano il futuro dello sviluppo di software, e continueranno ad evolversi a ritmo sostenuto”, ha concluso Wessling. “La sfida che tutte le organizzazioni incontrano ogni giorno è garantire che la sicurezza si sviluppi assieme a queste nuove capacità. La sicurezza non può essere un optional se vogliamo impedire l'accumulo di un enorme debito di sicurezza”.

Il 2025 GenAI Code Security Report completo è scaricabile sul sito di Veracode.

Informazioni su Veracode

Veracode è un leader globale nella gestione del rischio applicativo per l'era dell'AI. Basata su trilioni di linee di scansioni di codici e su un motore proprietario di recupero assistito dall'AI, la piattaforma Veracode offre sicurezza software adattiva ed è la scelta a cui si affidano le organizzazioni di tutto il mondo per realizzare e mantenere la sicurezza del software, dalla creazione di codici all'implementazione sul cloud. Migliaia dei team di sviluppo e sicurezza più importanti al mondo utilizzano Veracode ogni secondo di ogni giorno per ottenere visibilità accurata e fruibile sui rischi utilizzabili, rimediare in tempo reale alle vulnerabilità e ridurre i problemi di sicurezza su larga scala. Veracode è una società multipremiata che offre capacità in grado di tutelare l'intero ciclo di vita di sviluppo del software grazie prodotti come Veracode Fix, analisi statica, analisi dinamica, analisi della composizione del software, sicurezza dei container, gestione della postura di sicurezza delle applicazioni, rilevamento di pacchetti dannosi e test di penetrazione.

Per saperne di più visitare il sito web www.veracode.com e il blog di Veracode, oppure seguire l'azienda su LinkedIn e X.

Copyright © 2025 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio registrato di Veracode, Inc. negli Stati Uniti e può essere registrato in alcune altre giurisdizioni. Tutti gli altri nomi di prodotto, marchio o logo appartengono ai rispettivi titolari. Tutti gli altri marchi di fabbrica menzionati nel presente comunicato stampa sono di proprietà dei rispettivi titolari.

Fonte: Business Wire