Scommetto che non tutti voi avete passato la notte a debuggare un circuito o a cercare di far far girare un vecchio gioco arcade su un Raspberry Pi, ma spero almeno che abbiate la pelle dura per leggere questa notizia.
L’ultima bomba arriva dal mondo della sicurezza informatica e, spoiler, non è un aggiornamento divertente per GIMP. È emerso che una vulnerabilità critica in Microsoft Copilot, un exploit battezzato «SearchLeak», ha permesso agli hacker di intercettare i codici 2FA (quelli che usiamo per sentirci al sicuro quando facciamo il login) direttamente dagli utenti.
In pratica, il problema non è solo un bug, ma è proprio il modo in cui l’industria sta gestendo gli LLM (Large Language Models). Questi modelli sono addestrati su quantità di dati mostruose e, nel tentativo di essere super utili e contestualizzati, finiscono per creare delle falle di sicurezza che rendono il 2FA letteralmente inutile. È come se avessi costruito una cassaforte blindata ma avessi lasciato un microfono aperto dentro che trasmette la combinazione a chiunque stia ascoltando con l’orecchio giusto.
Da smanettone, trovo che questa cosa sia la prova definitiva di quanto sia pericoloso il ‘hype’ cieco verso l’AI integrata ovunque. Siamo in una fase in cui le big tech lanciano feature a raffica, sperando che la patch correttiva arrivi dopo che abbiamo già venduto l’anima (e i dati) al sistema. È la classica mentalità «move fast and break things», solo che stavolta non stanno rompendo solo il codice di un’app, stanno rompendo la nostra privacy e la sicurezza dei nostri account.
Cosa significa per noi che amiamo smanettare e costruire le nostre macchine? Significa che non possiamo fidarci ciecamente dei servizi cloud che promettono di ‘aiutarci a scrivere codice meglio’. Se l’assistente che usi per scrivere il tuo prossimo script in Python è la stessa porta che gli hacker usano per bypassare l’autenticazione, forse è il momento di tornare a valorizzare il controllo locale, l’open source e tutto ciò che non richiede un permesso al server di Redmond per funzionare.
Mentre tutti celebrano la prossima rivoluzione dell’AI generativa, noi continuiamo a preferire la solidità di un codice che gira offline, di un CNC che risponde solo ai tuoi file G-code e di un sistema che non deve chiedere il permesso per esistere. La sicurezza non è un modulo che si aggiunge con un aggiornamento software; è un design fondamentale. E al momento, l’AI sembra progettata solo per farci sognare… e farci restare scoperti.
Source: Critical Copilot vulnerability allowed hackers to seal 2FA code from users