Se avessimo seguito il marketing di Anthropic lo scorso aprile, saremmo stati tutti qui a piangere sul web mentre un super-modello chiamato Mythos smantellava le fondamenta di internet pezzo dopo pezzo. Il racconto era degno di un film di Christopher Nolan: un’IA così pericolosa da dover essere tenuta sotto chiave, distribuita solo a pochi privilegiati per permettere alle grandi corporation di riparare i danni prima del grande ‘day zero’.
E invece? Beh, invece la realtà è stata molto più… umana. Recentemente il lead developer di curl ha condiviso come è andata andata la scansione del leggendario tool di trasferimento dati tramite questo presunto mostro di intelligenza artificiale. Il risultato? Un solo, singolo, solitario bug. Sì, avete letto bene. One. Single. Vulnerability.
La storia dietro il tutto è un mix di burocrazia e ‘hype-driven development’. Il team di curl, nel bene o nel male, ha ottenuto l’accesso tramite la Linux Foundation, ma tra contratti da firmare, ritardi burocratici e procedure di sicurezza, l’accesso diretto al modello è rimasto un miraggio. Alla fine, qualcuno con l’accesso ha fatto girare lo scan per loro e ha mandato il report. Niente avventure epiche con prompt complessi, solo un classico processo di analisi automatizzata.
Da smanettone, la cosa mi fa sorridere. Siamo abituati a vedere queste narrazioni da ‘AI-doomsday’ che servono solo a gonfiare il valore delle startup durante i round di finanziamento. Il vero valore non sta nel modello che ‘scopre il codice proibito’, ma nell’integrazione di questi strumenti nel workflow quotidiano. Il team di curl usa già AISLE, Zeropath e persino i bot di GitHub per le code review. E la cosa interessante è che questi tool stanno aiutando a far emergere centinaia di bugfix e CVE che rendono il codice più solido. Non è l’AI che ci sostituisce, è l’AI che agisce come un liniment ultra-potenziato per i nostri processi di testing.
Per noi che amiamo smontare le cose, il messaggio è chiaro: l’automazione è un alleato, non un invasore. Se un tool riesce a trovare una vulnerabilità in un progetto massiccio e ultra-controllato come curl, significa che il nostro lavoro di debugging e testing sta diventando più intelligente, non meno necessario. Non serve un’IA apocalittica per essere sicuri; serve una buona pipeline di CI/CD, fuzzing serio e la voglia di non dormire la notte finché quel bug non è patchato.
Quindi, potete smettere di preoccuparvi che Mythos cancelli la vostra esistente libreria Python preferita. Per ora, l’unica cosa che l’IA ha distrutto è la nostra illusione che l’hype tecnologico corrisponda sempre a una minaccia reale. Torniamo pure ai nostri script, ai nostri progetti in Blender e alle nostre macchine CNC. Il futuro è ancora scritto (e debuggato) da noi.