Prima di procedere
Un numero crescente di team di sviluppo software open source sta affrontando una sfida senza precedenti: un'esplosione di segnalazioni di vulnerabilità generate dall'intelligenza artificiale (IA). Secondo quanto riportato da Bloomberg, modelli IA avanzati come Mythos di Anthropic identificano bug a un ritmo superiore alla capacità degli sviluppatori di correggerli, creando serie implicazioni per la sicurezza di internet a livello globale.
Daniel Stenberg, responsabile del progetto cURL, ha dichiarato che nel 2025 il suo team ha ricevuto 181 segnalazioni di bug, un volume comparabile a quello dei due anni precedenti sommati. Ad aprile 2026, il numero di segnalazioni aveva già raggiunto quota 87, prospettando un totale annuo di circa 325. Stenberg, che lavora principalmente da solo essendo l'unico membro a tempo pieno del progetto, ha ammesso di essere sopraffatto dall'aumento del carico di lavoro. Gli esperti attribuiscono questo picco all'avvento di strumenti come ChatGPT e Claude, che hanno notevolmente semplificato il processo di individuazione di bug e compilazione dei report.
La situazione è ulteriormente complicata dal rilascio del nuovo modello Mythos di Anthropic, capace di identificare e sfruttare autonomamente vulnerabilità zero-day nei principali sistemi operativi e browser. Preoccupata per le potenziali conseguenze sull'economia e la sicurezza nazionale, l'azienda ha scelto di non rendere il modello open source, limitandone l'accesso a organizzazioni chiave come CrowdStrike e la Linux Foundation. Contemporaneamente, Anthropic ha annunciato lo stanziamento di 4 milioni di dollari per supportare i team di manutenzione del software.
La dipendenza del settore tecnologico dal codice open source, sostenuto da piccoli team con risorse limitate, rappresenta un problema crescente, soprattutto se confrontata con le elevate valutazioni di mercato dei giganti dell'IT. Il carico di lavoro su questi team aumenta più rapidamente della loro capacità di rispondere alle vulnerabilità, mettendo a rischio la stabilità dei servizi internet. Tuttavia, si spera che l'utilizzo del nuovo modello Mythos possa consentire di risolvere i problemi prima che vengano sfruttati da malintenzionati.
Un'ulteriore criticità è rappresentata dall'accumulo di codice obsoleto, che può contenere errori e vulnerabilità nascoste. Ad esempio, la base di codice di cURL supera attualmente le 592.000 righe, e anche un piccolo aggiornamento a un componente può causare malfunzionamenti in altre parti del sistema. Precedenti storici, come la vulnerabilità Heartbleed in OpenSSL, hanno dimostrato quanto possano essere catastrofiche le conseguenze di errori rimasti inosservati per lungo tempo.
La diffusione massiccia dell'IA generativa ha portato programmi di ricompensa per la ricerca di vulnerabilità, come l'iniziativa di Google e l'Internet Bug Bounty, a sospendere l'accettazione di candidature a causa dell'afflusso di segnalazioni generate automaticamente. Gli specialisti descrivono la situazione attuale come un attacco di tipo "denial of service" (DDoS) diretto agli sviluppatori, e ingegneri di spicco di HAProxy e SUSE hanno confermato che il volume di informazioni ricevute è diventato allarmante e difficile da gestire.
Nonostante i rischi, l'accesso anticipato a strumenti IA avanzati sta già aiutando figure chiave del settore, come Greg Kroah-Hartman, responsabile del kernel Linux, a correggere i problemi reali in modo più efficace. Tuttavia, la dipendenza dal fattore umano rimane. Ad esempio, Stenberg impiega in media due ore per risolvere ogni problema e continua a lavorare sulle segnalazioni anche nei fine settimana. Esprime il timore che sia impossibile mantenere l'attuale ritmo di lavoro e che siano necessari cambiamenti urgenti per preservare la salute e la produttività degli sviluppatori di software open source.
