Salve a tutti, siete all'ascolto di INSiDER - Dentro la Tecnologia, un podcast di Digital People e io sono il vostro host, Davide Fasoli.

Oggi parleremo di vibe coding, il nuovo approccio alla programmazione che consente a chiunque di creare applicazioni e siti web semplicemente descrivendo le proprie idee a un'intelligenza artificiale.

Analizzeremo come questo fenomeno stia democratizzando lo sviluppo software, ma anche i rischi di sicurezza che comporta, portando esempi concreti di vulnerabilità e attacchi informatici resi possibili da questa nuova modalità di creazione del codice.

Prima di passare alle notizie che più ci hanno colpito questa settimana, vi ricordo che potete seguirci su Instagram a @dentrolatecnologia, iscrivervi alla newsletter e ascoltare un nuovo episodio ogni sabato mattina, su Spotify, Apple Podcast, YouTube Music oppure direttamente sul nostro sito.

Ad Apple, con la serie di chip M, va indubbiamente riconosciuta la capacità di aver causato un terremoto nel mercato dei PC con architettura ARM, settore largamente dominato da CPU Intel e AMD.

Apple ha infatti dimostrato come l'architettura ARM, che è dominante nei dispositivi mobili, se ottimizzata bene può coniugare grande potenza di calcolo con l'efficienza, riducendo i consumi e il surriscaldamento.

Cavalcando quest'onda, su Windows è Snapdragon l'azienda che più sta puntando a utilizzare processori ARM su PC e laptop.

Fino ad ora.

Al Computex 2026 di Taipei, Jensen Huang, CEO di NVIDIA, ha infatti annunciato "RTX Spark", il primo chip di NVIDIA pensato direttamente per laptop e desktop consumer.

Il chip è realizzato in collaborazione con Microsoft e MediaTek, farà girare "Windows on ARM" e unisce una CPU fino a 20 core con una GPU Blackwell da 6.144 core, condividendo la stessa memoria integrata grazie all'interfaccia NVLink, la stessa tecnologia che già collega i chip nei data center.

La produzione è affidata a TSMC con processo a 3 nanometri e i primi dispositivi arriveranno nei negozi a partire dall'autunno.

Chiaramente stiamo parlando di NVIDIA, quindi le macchine con RTX Spark non eseguiranno soltanto applicazioni tradizionali, ma potranno utilizzare agenti intelligenti locali capaci di comprendere istruzioni, elaborare immagini, generare contenuti e svolgere compiti complessi in modo autonomo, senza dover inviare i dati al cloud.

La visione di Huang per i prossimi dieci anni, insomma, è quella di una totale integrazione dell'IA nelle vite di ognuno di noi, e l'azienda si sta preparando per esserne la protagonista.

Starà al mercato definire se questa scelta verrà accolta con entusiasmo dai consumatori o se, al contrario, si dimostrerà una visione troppo azzardata.

Durante un test statico di accensione dei motori a Cape Canaveral, un malfunzionamento ha provocato l'esplosione improvvisa di un razzo New Glenn dell'azienda spaziale Blue Origin.

L'azienda ha confermato l'assenza di vittime, mentre Jeff Bezos ha dichiarato che ancora non si conoscono le cause principali e annunciando l'impegno a ricostruire le componenti della piattaforma andate distrutte.

L'ispezione successiva ha tuttavia restituito un quadro meno catastrofico del previsto.

La torre di supporto è infatti riparabile in loco, i serbatoi di propellente liquido sono integri e il booster, insieme a due secondi stadi presenti nell'hangar adiacente, non hanno subito danni.

Completamente distrutta invece è la torre parafulmine, mentre il trasportatore verticale non verrà sostituito, poiché Blue Origin intende adottare il montaggio diretto sulla rampa.

Il CEO ha infine confermato la ripresa delle operazioni di lancio entro la fine dell'anno.

Questo incidente è avvenuto in un momento particolarmente delicato per l'azienda, considerando il ruolo centrale nei programmi NASA.

Blue Origin ha infatti ricevuto da poco un contratto per la costruzione di una base lunare e dovrà testare il lander Blue Moon nel prossimo autunno nell'ambito del programma Artemis.

In Italia potrebbe presto arrivare una legge che vieta l'accesso ai social network ai minori di 15 anni.

Il disegno di legge bipartisan, firmato dalle deputate Marianna Madia e Lavinia Mennuni, sarebbe già pronto ma in attesa dei necessari pareri ministeriali per proseguire il suo iter parlamentare.

L'obiettivo della proposta è quello di offrire un maggiore supporto alle famiglie nella gestione dell'utilizzo delle piattaforme social da parte degli adolescenti, promuovendo una collaborazione tra genitori, scuole, istituzioni, media e professionisti del settore.

Già oggi molti social prevedono limiti di età - generalmente fissati a 13 anni - ma nella pratica questi vincoli vengono spesso aggirati: in alcuni casi basta inserire una data di nascita falsa al momento della registrazione, in altri viene

utilizzato direttamente l'account o i dati di un genitore, rendendo difficile per le piattaforme verificare chi stia realmente utilizzando il profilo.

Proprio per questo la proposta punta anche a introdurre strumenti più efficaci per la verifica dell'età.

Il testo è stato sviluppato in coordinamento con l'Unione Europea, che sta valutando misure comuni sul tema.

Secondo i promotori, la legge potrebbe avere anche un forte impatto culturale, contribuendo a modificare le abitudini sociali e a rafforzare la tutela dei minori online, quando anche altri Paesi europei e l'Australia stanno già seguendo una strada simile.

Nella puntata "Creare siti e app senza scrivere codice, è possibile?" avevamo parlato di come le piattaforme "nocode", che permettono di realizzare app o siti web in maniera visuale, collegando tra loro dei blocchi, abbiano dato la possibilità a

moltissime persone di dare forma alle proprie idee senza, però, dover per forza imparare a programmare o assumere degli sviluppatori che restano, comunque, figure indispensabili per progetti più complessi.

A distanza di qualche anno, vogliamo ripartire proprio da quella puntata per discutere di un approccio totalmente nuovo che si è sviluppato negli ultimi anni.

Stiamo parlando di quello che viene definito, spesso con accezione dispregiativa, e poi capiremo perché, del vibe coding, approccio che ha preso piede solo nell'ultimo periodo, alimentato dalla corsa all'intelligenza artificiale.

Se fino a qualche tempo fa, infatti, per programmare servivano anni di studi ed esperienza, oggi l'approccio alla sviluppo è cambiato radicalmente grazie all'IA, superando anche tutti quei limiti delle piattaforme "nocode" - di cui abbiamo discusso - come la scarsa personalizzazione o l'impossibilità di realizzare app totalmente su misura.

Basta andare su una delle tante piattaforme presente sul web, come Lovable, v0, Google AI Studio, Claude Design, descrivere minuziosamente ciò che vogliamo ottenere e, in pochi minuti, questi software producono un'app perfettamente funzionante e cucita su misura sulle nostre esigenze.

E questo ha portato alla rottura di un concetto che per anni è stato forse dato per scontato, ossia che per creare un programma bisogna saper programmare.

Questo momento è stato già attraversato più volte da altre professioni, che con l'avanzare della tecnologia si sono profondamente trasformate.

Pensiamo ad esempio ai pittori.

Prima, per fare un ritratto erano necessarie ore di lavoro, pennelli, colori.

Oggi basta uno smartphone.

Pensiamo alla stampa, che inizialmente aveva bisogno di macchinari meccanici e ingombranti, mentre oggi basta una qualsiasi stampante.

Pensiamo anche al mondo dei podcast, che ci riguarda direttamente.

Se prima le trasmissioni audio erano solo a scapito di chi lavorava in radio e possedeva una strumentazione specifica e costosa, oggi ognuno può raccontare la sua storia con pochi euro.

In questa puntata, dunque, parleremo non solo del fenomeno del vibe coding, di come è nato e di come si sta diffondendo, ma anche di come gli stessi strumenti stanno cambiando il lavoro dello sviluppatore.

Parleremo, però, anche dei rischi legati al vibe coding, portando qualche esempio di come Internet, per certi aspetti, sta diventando un posto un po' meno sicuro.

Iniziamo da spiegare cos'è il vibe coding: il termine è nato nel 2025 ed è stato coniato da Andrej Karpathy, uno dei ricercatori più importanti nel campo dell'intelligenza artificiale e tra i fondatori di OpenAI.

Su X, Andrej ha infatti pubblicato un post, andato poi virale, che recitava: "C'è un nuovo modo di programmare che chiamo "vibe coding", in cui ti abbandoni completamente alle vibrazioni, abbracci il potenziale esponenziale e dimentichi persino che il codice esista".

Ma cosa significa concretamente?

Significa usare strumenti come Cursor, Lovable, Replit, Bolt, ma anche semplicemente con una conversazione su IA come Claude, ChatGPT o Gemini, per costruire software semplicemente descrivendo quello che si vuole.

Parte tutto da un prompt, ad esempio "Crea un'applicazione per tracciare le mie spese mensili", o "Crea un sito web per il mio panificio".

Il modello genera il codice, lo esegue, lo corregge quando sbaglia e continua questo ciclo finché il risultato non corrisponde a quello che l'utente aveva in mente.

È quindi facile comprendere come ci siano delle sostanziali differenze con le piattaforme nocode di cui abbiamo parlato nella puntata di qualche anno fa.

Con il vibe coding l'utente crea a tutto gli effetti del codice, che diventa di sua proprietà e può eseguire quando, dove e come vuole.

È completamente personalizzato e personalizzabile e rispecchia esattamente la richiesta iniziale.

Per il nocode, invece, la situazione è decisamente diversa.

Qui gli utenti sono strettamente legati alla piattaforma che utilizzano.

Questo significa meno personalizzazione, scelte limitate, ma anche una curva di apprendimento molto più alta per imparare ad utilizzare e comprendere la logica di quella piattaforma o dell'uso dei vari blocchi.

Il codice, poi, rimane eseguibile solo ed esclusivamente su quella piattaforma che, però, si preoccupa di mantenere l'infrastruttura, gestire gli errori, risolvere le vulnerabilità e mantenere aggiornati i vari componenti.

E qui si apre un nuovo capitolo, legato proprio alla sicurezza e ai rischi legati a questo nuovo approccio alla programmazione.

Uno studio condotto nel 2025 da Veracode, una delle principali aziende che si occupano di cybersicurezza, ha rilevato che i modelli di IA riescono nel 90% dei casi a produrre un codice funzionante e, cosiddetto, compilabile.

Un salto di qualità altissimo, se pensiamo che qualche anno fa questa cifra era inferiore al 20%.

Ciò che ci interessa di più, però, sono i dati relativi alla sicurezza.

È infatti emerso che il 45% del codice generato contiene ancora vulnerabilità classiche e ben documentate, spesso banali, ma che permettono a chiunque con un minimo di capacità di alterare dati, accedere a funzionalità senza averne il permesso, rubare dati o addirittura arrivare ad eseguire codice sul server dell'applicazione.

E di esempi in cui l'uso del vibe coding ha portato danni, anche molto gravi, ce ne sono, purtroppo, parecchi.

Un esempio è l'app di incontri "Tea App", che è stata coinvolta in una fuga di dati che comprendevano circa 2000 fotografie, 13000 documenti d'identità e oltre un milione di messaggi privati.

Un altro caso è il social network Baudr, creato dal famoso streamer Grenbaud per soli 40 euro e senza nessun controllo di sicurezza.

Il risultato?

Poche ore dopo il lancio alcuni utenti si sono accorti che il pannello di amministrazione era liberamente accessibile senza autenticazione, permettendo a chiunque di consultare dati sensibili, eliminare account o inviare messaggi per conto di altre persone.

Un altro caso ben documentato è il caso dell'agente IA di Replit, che ha ignorato e aggirato i blocchi che gli erano stati imposti e ha eliminato, per sbaglio, un intero database aziendale.

Infine, c'è il caso OpenClaw, un progetto diventato famoso perché permette all'IA di avere accesso completo al computer e poter essere veramente un assistente completo per l'utente, tant'è che molte persone l'hanno installato su schede come Raspberry Pi o Mac Mini dedicati.

Anche qui, il problema è che il bot era pieno di falle di sicurezza, generando il furto di milioni di chiavi API e password, esposte pubblicamente.

Il gruppo di ricerca SSLab della Georgia Institute of Technology ha pubblicato una piattaforma chiamata Vibe Security Radar, che raccoglie segnalazioni di vulnerabilità in progetti realizzati in vibe coding, mostrando una notevole e preoccupante crescita nel corso degli ultimi mesi.

Sempre più persone pensano di sviluppare il proprio servizio a costo zero, pubblicarlo online e monetizzarlo, senza tenere minimamente in considerazione le più basiche attenzioni in materia di sicurezza e privacy.

Per fare un paragone, è come se decine di persone potessero con pochi euro avviare un'attività, come un bar o un ristorante, escludendo qualsiasi prassi igienica o di sicurezza alimentare.

Solo che in questo caso si tratta di un mercato altamente controllato e normato, nel caso dello sviluppo software, invece, nonostante esistano normative in materia di privacy, diventa difficile eseguire controlli seri su una proliferazione così alta di progetti e servizi online scritti in vibe coding.

A questo punto però è importante fare una distinzione fondamentale.

L'IA nel mondo della programmazione è, e deve essere, uno strumento neutrale, non è il male assoluto.

Nel mondo degli sviluppatori, l'uso di assistenti di intelligenza artificiale, che si utilizzano da terminale o tramite app che hanno accesso ai file del proprio PC, come Claude Code o OpenCode, è diventato ormai naturale e a tratti indispensabile.

Tuttavia, questi prodotti rimangono esclusivamente degli strumenti che lo sviluppatore deve saper utilizzare non per scrivere un progetto da zero senza curarsi di ciò che viene creato, ma per assisterlo nello sviluppo, nelle decisioni, per velocizzare la scrittura del codice o risolvere problemi più efficacemente.

Ma sta poi allo sviluppatore controllare la bontà del codice generato e sistemarne gli eventuali problemi.

Tra l'altro, recenti studi hanno mostrato come l'uso di questi strumenti, se usati in modo massiccio, possa portare a maggiore stanchezza e stress mentale, attraverso quella che viene chiamata "AI fatigue", che può essere oggetto di un'altra puntata.

Il problema, dunque, non è il vibe coding in sé, ma è la capacità o, al contrario, incapacità di utilizzare strumenti così potenti senza cognizione di causa.

La differenza non è solo tecnica.

È una differenza di responsabilità e consapevolezza.

Quando uno sviluppatore esperto usa, ad esempio, Claude Code e il modello suggerisce un codice insicuro, lo sviluppatore lo riconosce e lo rifiuta o lo modifica.

Quando, al contrario, un utente senza competenze usa piattaforme come Lovable o Replit, non c'è nessuno in grado di accorgersi delle vulnerabilità presenti.

Ma quindi Internet sta diventando meno sicuro per colpa dell'intelligenza artificiale?

Per rispondere a questa domanda bisogna prima affrontare un altro tema, sempre legato all'IA come strumento per programmare.

Finora abbiamo infatti visto l'IA come strumento per creare prodotti o servizi, spesso pieni di vulnerabilità banali.

Tuttavia, è possibile usare questi strumenti anche per scovarle le vulnerabilità o le falle di sicurezza e sfruttarle, illecitamente, a proprio vantaggio.

Si passa quindi dal vibe coding, al vibe hacking.

Facciamo qualche esempio.

A febbraio 2025, la polizia di Tokyo ha arrestato tre studenti giapponesi di età compresa tra i 14 e i 16 anni che, grazie a ChatGPT e senza nessuna base di programmazione, hanno violato i sistemi di Rakuten Mobile, uno dei principali operatori di

telefonia mobile giapponesi, attivando e vendendo circa 2500 linee telefoniche, per un guadagno di oltre 50 mila dollari.

Sempre nel 2025, un cybercriminale ha utilizzato Claude Code per rubare dati ed estorcere denaro a 17 società, tra cui strutture sanitarie, enti pubblici e istituzioni religiose.

E poi c'è il caso di Claude Mythos.

Questo modello di intelligenza artificiale presentato ad aprile da Anthropic sta scovando con estrema facilità migliaia di vulnerabilità in tutti i sistemi che sta analizzando, da browser come Firefox, a sistemi operativi come Linux o FreeBSD, a software come FFmpeg.

Attualmente, infatti, questo è il modello più potente dell'azienda e proprio a causa di questa spaventosa capacità di programmazione e hacking, è stata rilasciata, attraverso il Project Glasswing, solamente ad un limitato numero di partner, tra

cui Amazon, Google, Microsoft, banche ed enti governativi, proprio per permettere loro di condurre test e mettersi al riparo da un futuro in cui modelli così potenti saranno inevitabilmente disponibili liberamente a chiunque.

Stiamo, quindi, andando incontro ad un futuro, molto prossimo, in cui Internet diventerà meno sicuro per colpa dell'IA?

Molto probabilmente, purtroppo, la risposta è sì.

Da una parte stiamo assistendo ad una proliferazione di software generati in vibe coding, senza nessuna verifica o controllo di sicurezza.

E se l'IA è così brava a scrivere codice funzionante e poco sicuro, dall'altra è altrettanto brava a scovare autonomamente vulnerabilità e superfici di attacco anche in software sviluppati in modo attento e preciso.

E se una volta queste possibilità erano limitate solo a poche persone che conoscevano la programmazione, oggi non è necessario saper programmare per sviluppare codice o condurre attacchi informatici, ma basta saper conversare efficacemente con un modello IA.

Come per tutte le innovazioni tecnologiche, anche questi, come abbiamo ripetuto, sono solo strumenti, seppur molto potenti.

E, come tali, nascono neutrali.

Sta a noi saperli utilizzare nella maniera più corretta e, se da una parte degli hacker o dei ragazzini la possono utilizzare per attaccare un software, dall'altra uno sviluppatore la può utilizzare ancora più efficacemente per anticipare gli

attacchi e scrivere mettere ancor più in sicurezza le proprie app, per renderle pronte all'era dell'IA e dei modelli come Claude Mythos.

E così si conclude questa puntata di INSiDER - Dentro la Tecnologia, io ringrazio come sempre la redazione e in special modo Matteo Gallo e Luca Martinelli che ogni sabato mattina ci permettono di pubblicare un nuovo episodio.

Per qualsiasi tipo di domanda o suggerimento scriveteci a redazione@dentrolatecnologia.it, seguiteci su Instagram a @dentrolatecnologia dove durante la settimana pubblichiamo notizie e approfondimenti.

In qualsiasi caso nella descrizione della puntata troverete tutti i nostri social.

Se trovate interessante il podcast condividetelo che per noi è un ottimo modo per crescere e non dimenticate di farci pubblicità.

Noi ci sentiamo la settimana prossima.