Tecnologia

Una scansione di 380.000 app costruite con l’IA ne trova migliaia senza alcuna autenticazione

Una scansione di 380.000 app costruite con l’IA ne trova migliaia senza alcuna autenticazione
Susan Hill
8 Maggio 2026

Il pitch del vibe-coding dal 2023 è sempre stato lo stesso — chiunque può costruire un’app. Una nuova scansione di RedAccess consegna la prima ricevuta numerica. Su circa 380.000 applicazioni web costruite con strumenti di codifica basati su IA e distribuite attraverso servizi come Netlify, circa 5.000 non avevano alcun tipo di autenticazione. Quasi il 40 per cento di queste app non protette custodiva dati sensibili — informazioni sugli utenti, log di conversazioni, dati di pagamento, credenziali interne. I numeri sono atterrati questa settimana su WIRED, Axios e Security Boulevard e descrivono una categoria di guasto che l’industria ha accumulato in silenzio per due anni.

I generatori nominati sono le piattaforme che qualsiasi non-sviluppatore conosce già. Lovable, Replit, Base44 e il più ampio ecosistema dei tool “costruisci da un prompt” hanno sempre venduto la stessa promessa implicita — l’IA non sostituisce solo la digitazione del codice, sostituisce anche l’ingegnere che dovrebbe stare nel loop. Scegli un prompt, vedi apparire l’app, la metti in produzione tramite Netlify o Vercel, condividi il link. Quello che la scansione di RedAccess documenta è ciò che è andato in produzione senza che nessuno in quel ciclo si chiedesse se l’app aveva bisogno di una serratura.

Le vulnerabilità non sono sottili. Le app non protette non richiedevano un attaccante astuto — bastava un browser. Molte si distribuivano con chiavi Supabase o Firebase incorporate direttamente nel bundle client, il che significa che chiunque interessato può leggere il database. Alcune concedevano accesso in scrittura sullo stesso database, così un estraneo può modificare i record dei tuoi utenti. Alcune esponevano endpoint di amministrazione. La categoria di guasto non è uno zero-day né un caso limite mal configurato. È l’assenza completa dello strato di sicurezza.

Meridiem annuncia l’edizione fisica di “Papetura” per PlayStation 5 e Nintendo Switch

Conviene tenere lo scetticismo a portata, perché la tentazione di incolpare gli strumenti è grande e solo parzialmente corretta. Uno sviluppatore junior che costruisce la stessa app da zero senza supervisione spedirebbe qualcosa di simile. La differenza è il volume. Gli strumenti di vibe-coding abbassano l’asticella abbastanza perché il numero totale di app messe in produzione da persone che non sanno ragionare in autonomia su un’autenticazione sia esploso. Gli strumenti tecnicamente possono offrire scaffolding di auth, ma il flusso di default non lo impone, e gli utenti che più beneficiano di questi strumenti sono esattamente quelli peggio attrezzati per accorgersi quando manca. Lovable ha detto di stare lavorando ad attivare lo scaffolding di auth per impostazione predefinita. Replit ha indicato le proprie configurazioni di sicurezza già esistenti, riconoscendo che gli utenti possono disattivarle. Base44 non ha commentato pubblicamente. Le piattaforme reagiscono — la domanda è se la reazione viaggi più veloce della curva di distribuzione.

La lettura strutturale è più dura da digerire. Per due anni l’industria ha venduto la rimozione della revisione professionale dalla pipeline di deploy come una feature, non come un costo. I dati di RedAccess sono ciò che quella rimozione produce su scala. Le app funzionano per l’utente che le ha costruite e funzionano anche per chiunque trovi l’URL. I prossimi due anni saranno probabilmente un accumulo lento di episodi del genere, finché le piattaforme non imporranno l’autenticazione a livello di framework per impostazione predefinita, o finché i regolatori non le obbligheranno. Possono accadere entrambe le cose. Il regime europeo di responsabilità da prodotto è già in fase di rilettura per coprire il software generato da IA, e i procuratori generali degli stati americani hanno cominciato a girare attorno al tema.

Quello che possono fare oggi gli utenti di queste piattaforme è ristretto. RedAccess ha pubblicato delle guide per i quattro strumenti nominati — verificare che l’app richieda login prima di ogni accesso ai dati, controllare le chiavi spedite nel bundle client, e dare per scontato che qualsiasi URL condiviso sia già in scansione da parte di qualcuno. Le piattaforme hanno promesso miglioramenti. La scansione che ha prodotto questa storia ha richiesto pochi giorni. La prossima è già in preparazione.

Altri articoli simili

Destiny 2 svela la collaborazione con Lucasfilm Games per l’espansione I Rinnegati

Destiny 2 svela la collaborazione con Lucasfilm Games per l’espansione I Rinnegati

Pixel Maniacs e PM Studios annunciano ChromaGun 2: Dye Hard, il puzzle-game basato sui colori

Pixel Maniacs e PM Studios annunciano ChromaGun 2: Dye Hard, il puzzle-game basato sui colori

Addio al Silicio: La Cina svela “LightGen”, il processore fotonico che sfida Nvidia e abbatte il muro del calore

Addio al Silicio: La Cina svela “LightGen”, il processore fotonico che sfida Nvidia e abbatte il muro del calore

Mattel e Outright Games portano Monster High su tutte le console e PC quest’autunno

Mattel e Outright Games portano Monster High su tutte le console e PC quest’autunno

Hexstrike-AI: L’Alba dello Sfruttamento Autonomo di Vulnerabilità Zero-Day

Hexstrike-AI: L’Alba dello Sfruttamento Autonomo di Vulnerabilità Zero-Day

Un bug di login ha lasciato 70 milioni di siti cPanel aperti a chiunque

Un bug di login ha lasciato 70 milioni di siti cPanel aperti a chiunque

Discussione

Ci sono 0 commenti.