Al forum RSAC tenutosi a San Francisco il 24 marzo 2026, il direttore esecutivo del NCSC, Richard Horne, ha sottolineato che il fenomeno del vibe coding apre una finestra temporale cruciale per il mondo della sicurezza informatica. Con il termine vibe coding si indica la generazione di software assistita da Intelligenza artificiale, una pratica che può accelerare lo sviluppo ma anche propagarne i difetti se non regolamentata. Horne ha richiamato la comunità a non limitarsi a osservare il cambiamento, ma a modellarlo con criteri tecnici e normativi chiari.
Il messaggio principale riguarda la responsabilità collettiva: i professionisti devono anticipare i rischi e contribuire a creare modelli e piattaforme che riducano le superfici d’attacco. L’NCSC ha infatti messo in luce sia i pericoli — come codice generato senza revisione umana che amplifica le vulnerabilità — sia le potenzialità di un ecosistema in cui gli strumenti AI siano instradati verso la sicurezza-by-design.
Questo implica ripensare formazione, governance e pipeline di sviluppo.
Perché il vibe coding ridefinisce il panorama del software
Il vibe coding non è solo un nuovo modo di produrre righe di codice: è una possibile trasformazione del rapporto fra domanda e offerta di software. Se modelli e tool consentono di generare componenti personalizzati a costi inferiori, molte organizzazioni riconsidereranno le scelte tecnologiche. Allo stesso tempo, l’aggiunta di agenti AI nello sviluppo può introdurre errori sistemici riprodotti su larga scala, con conseguenze per autenticazione, controllo degli accessi e configurazioni. Per questo motivo la discussione deve spostarsi dalla retorica della novità a criteri operativi misurabili che definiscano cosa sia accettabile in termini di sicurezza.
Impatto sull’adozione e sui rischi operativi
L’adozione massiccia di strumenti AI nella pipeline di sviluppo crea nuovi vincoli: servono tracciabilità della provenienza del modello, verifiche sulla qualità dei dati di addestramento e meccanismi per evitare la propagazione di pattern insicuri.
In quest’ottica, la comunità di sicurezza deve definire standard per la certificazione di modelli, pratiche per la revisione automatica e umana del codice e metriche che colleghino la sicurezza del software al valore di business. Senza questi elementi, il passaggio al vibe coding rischia di amplificare la superficie d’attacco invece di ridurla.
Misure pratiche e tecniche consigliate
Secondo l’NCSC, alcune contromisure sono ovvie e devono essere adottate subito: istruire i modelli secondo principi di sicurezza-by-design, garantire la provenienza e la qualità dei dataset e utilizzare strumenti AI per la revisione del codice prodotto sia da umani sia da agenti. Tuttavia esistono anche misure più sofisticate, come l’uso di architetture deterministiche che limitano le capacità dannose del codice in caso di compromissione, o la progettazione di piattaforme che impongano controlli runtime più stringenti.
Contenimento e igiene del software
Tra le proposte tecniche emergono pratiche come la generazione automatica di test case, la documentazione obbligatoria prodotta dal modello, l’uso del fuzzing per scoprire vulnerabilità e l’aggiornamento continuo dei modelli di minaccia. L’NCSC suggerisce inoltre di esplorare modelli di deployment dove il codice AI sia più «chiuso» e controllato rispetto alle soluzioni SaaS tradizionali, riducendo così alcuni dei rischi che hanno frenato l’adozione del cloud in ambiti molto sensibili.
Il ruolo operativo: dai SOC ai CTEM
Il dibattito al RSAC ha toccato anche l’evoluzione delle operazioni di sicurezza: l’emergere dell’AI SOC e di pratiche di CTEM (continuous threat exposure management) rappresentano esempi pratici di come integrare AI senza perdere controllo.
L’AI può migliorare la triage degli allarmi, aumentare la copertura delle indagini e accelerare le attività di contenimento, ma la sua efficacia dipende da dati affidabili, integrazione degli strumenti e solide policy di governance. Gli operatori devono quindi bilanciare automazione e processo umano per ottenere risultati misurabili in termini di tempo di rilevamento e risposta.
Formazione e responsabilità
Infine, Horne ha richiamato l’attenzione sulla formazione: i team devono acquisire competenze sia nella comprensione dei modelli AI sia nelle tecniche di verifica del codice generato. La responsabilità è duplice: sviluppatori e security officer devono collaborare per definire limiti operativi e procedure di audit. Solo così il passaggio verso pratiche di sviluppo supportate da AI potrà portare benefici reali, trasformando un rischio potenzialmente «intollerabile» in una opportunità per costruire software più robusti e controllati.
In sintesi, il messaggio emerso al RSAC 2026 e rilanciato dall’NCSC è chiaro: il vibe coding può cambiare le regole del gioco, ma perché ciò avvenga in modo positivo servono regole, strumenti e una comunità di professionisti pronta a guidare la transizione invece di subirla.
