Prima di procedere
Un recente studio condotto dalla società CodeRabbit ha messo in luce una problematica emergente nel mondo dello sviluppo software: il codice generato tramite strumenti di intelligenza artificiale (AI) sembra contenere un numero significativamente maggiore di errori e vulnerabilità rispetto al codice scritto dagli sviluppatori umani. Questa scoperta solleva importanti interrogativi sull'affidabilità e la sicurezza del codice prodotto dall'AI, soprattutto in un contesto in cui l'adozione di tali strumenti è in rapida crescita.
Secondo la ricerca di CodeRabbit, le richieste di unione di modifiche al codice (Pull Request) create con l'ausilio di strumenti di AI presentano in media 10,83 errori, un dato nettamente superiore rispetto ai 6,45 errori riscontrati nelle Pull Request generate da sviluppatori umani. Questo incremento di errori si traduce in tempi di revisione più lunghi e in un potenziale aumento del numero di bug che finiscono per essere integrati nella versione finale del prodotto software.
L'analisi ha rivelato che le Pull Request generate dall'AI contenevano complessivamente 1,7 volte più errori rispetto a quelle create da umani. Un dato ancora più allarmante è l'aumento delle criticità: gli errori critici e gravi erano 1,4 volte più frequenti nel codice generato dall'AI, evidenziando che non si trattava solo di piccoli difetti. Le aree più problematiche includevano la logica e la correttezza del codice (1,75 volte più errori), la qualità e la manutenibilità del codice (1,64 volte più errori), la sicurezza (1,57 volte più errori) e le prestazioni (1,42 volte più errori). Il rapporto sottolinea come l'AI tenda a introdurre errori significativi che richiedono un intervento correttivo da parte dei revisori umani.
In termini di sicurezza del codice, le problematiche più comuni introdotte dall'AI includono la gestione impropria delle password, i riferimenti non sicuri agli oggetti, le vulnerabilità XSS (Cross-Site Scripting) e la deserializzazione non sicura, una grave vulnerabilità delle applicazioni che si verifica quando un programma elabora dati non affidabili. Questi errori di sicurezza possono esporre i sistemi a rischi significativi, rendendo cruciale un'attenta revisione del codice generato dall'AI.
David Loker, direttore AI di CodeRabbit, ha commentato: «Gli strumenti di AI per la programmazione aumentano significativamente la produttività, ma introducono anche difetti prevedibili che le organizzazioni devono affrontare attivamente». Tuttavia, non tutto è negativo: l'AI si dimostra efficace nelle fasi iniziali della generazione del codice e riduce il numero di errori ortografici (1,76 volte in meno) e i problemi di testabilità (1,32 volte in meno). Questo suggerisce che l'AI può essere un valido aiuto per gli sviluppatori, a patto che il suo output venga attentamente monitorato e corretto.
Lo studio evidenzia una transizione in atto: gli sviluppatori stanno passando dalla scrittura del codice di base alla gestione e alla verifica dei risultati prodotti dall'AI. Questo potrebbe rappresentare il futuro dell'interazione tra umani e agenti AI nello sviluppo software.
Parallelamente, Microsoft ha segnalato un numero record di vulnerabilità corrette, con 1139 CVE (Common Vulnerabilities and Exposures) risolte nel 2025, il secondo valore più alto di sempre. Questo aumento potrebbe essere in parte attribuibile alla crescita complessiva del codice generato dall'AI. Inoltre, i modelli di AI, come quelli sviluppati da OpenAI, sono in costante miglioramento, il che potrebbe ridurre il numero di errori in futuro. Resta fondamentale, tuttavia, un approccio cauto e una verifica accurata del codice generato dall'AI per garantire la sicurezza e l'affidabilità dei sistemi software.
