Vulnerabilità della codifica Vibe: Certora sostiene che la supervisione umana è essenziale per gli audit DeFi

Jensen Huang, CEO di Nvidia, sostiene che "il miracolo dell'intelligenza artificiale" è che "nessuno deve programmare". Grazie alla crescita prolifica dell'intelligenza artificiale e all'ascesa di Vibe Coding, la tecnologia ci sta avvicinando alla visione di Huang: un futuro in cui "tutti nel mondo sono programmatori".

L'idea che tutti possano teoricamente diventare fondatori di DeFi con zero esperienza o conoscenze di programmazione è ovviamente interessante per gli imprenditori in erba. Tuttavia, non è necessariamente di buon auspicio per la sicurezza di migliaia di utenti dell'economia onchain.

Che tipo di minaccia rappresenta Vibe Coding per Solana DeFi e come si approcciano allo sviluppo e all'audit dell'IA revisori affidabili come Certora?

Sempre più sviluppatori si rivolgono all'IA

L'IA è intorno a noi e ogni giorno che passa si intreccia sempre più profondamente con le nostre vite. Secondo il sondaggio sugli sviluppatori 2025 di Stack Overflow, oltre il 50% degli sviluppatori professionisti utilizza strumenti di IA ogni giorno e l'84% di tutti gli intervistati incorpora l'IA nel proprio processo di sviluppo.

Oltre a illustrare quanto sia diventato popolare il coding basato sull'IA, il sondaggio di Stack Overflow ha evidenziato alcune illuminanti disparità. Mentre l'84% degli intervistati utilizza strumenti di IA nel proprio processo di sviluppo, solo il 3,1% ha mostrato "grande fiducia" nella loro accuratezza. È lecito concludere che gli strumenti di IA, pur essendo pratici ed efficienti, sono tutt'altro che inattaccabili.

La creazione di codice di IA è più comune che mai, ma un numero incredibilmente basso di sviluppatori ha fiducia nel codice scritto. Ciò è confermato da un recente studio del MIT Sloan, secondo il quale l'IA rende gli sviluppatori più produttivi, ma accelera anche la propagazione degli errori.

Come sintetizza elegantemente REKT, "questi strumenti promettevano di democratizzare la codifica, di rendere tutti sviluppatori. In realtà hanno reso possibile l'invio di sistemi complessi senza comprenderli".

Sebbene si possa naturalmente presumere che la maggior parte degli esseri umani continui a supervisionare la produzione in corso e a correggere eventuali errori, ci saranno inevitabilmente alcuni casi in cui gli sviluppatori con poco tempo a disposizione potranno essere meno perspicaci.

Nel peggiore dei casi, l'economia onchain si trasformerà in una massa di applicazioni codificate in modo vibrante e controllate da strumenti di intelligenza artificiale, con poca o nessuna supervisione umana per individuare errori oscuri ed evasivi. Invece della promessa originaria di una finanza decentralizzata, la criptovaluta si trasforma inevitabilmente in un torbido parco giochi progettato da Claude, per Claude.

Fortunatamente, questa prognosi infausta è improbabile. Gli ingegneri stanno certamente utilizzando l'IA per diventare più efficienti, ma dire che stanno completamente esternalizzando l'intero processo di sviluppo all'IA è, almeno per ora, impreciso. I team più seri stanno adottando un approccio ibrido allo sviluppo, in cui l'IA viene utilizzata insieme alla supervisione, all'esperienza e alla creatività umana per ottenere il meglio da entrambi i mondi.

I controlli dell'IA sono sicuri?

Lo stesso vale per i revisori. Così come gli ingegneri si orientano verso gli strumenti di IA per la loro efficienza, anche i revisori stanno raccogliendo i benefici di un potente set di occhi in più. I revisori della sicurezza informatica, sia all'interno che all'esterno della crittografia, stanno incorporando l'IA nei loro processi, consentendo loro di analizzare e testare una superficie molto più ampia di quella che può raggiungere un essere umano.

Tuttavia, nonostante la crescente popolarità degli strumenti di auditing dell'IA, gli esseri umani sono ancora necessari per prevenire gli hack insidiosi. Mooly Sagiv, Chief Scientist di Certora, afferma che le verifiche AI esistenti non sono in grado di replicare gli hack più interessanti, come Euler V1 e Cork. Anche per gli exploit più semplici, non è ancora chiaro se gli audit dell'intelligenza artificiale siano più utili degli strumenti di analisi statica.

Nonostante la sua genialità, l'IA è ancora, almeno per quanto ne so, incapace di un pensiero originale. Anche i migliori strumenti di IA non possono generare codice o logica che l'uomo non abbia già implementato da qualche parte, il che significa che dovranno sempre recuperare. Considerando la rapidità con cui i criminali informatici progettano ed eseguono nuovi vettori di attacco, gli sviluppatori e gli auditor devono essere proattivi, piuttosto che reattivi, alle potenziali minacce.

Le aziende di sicurezza affidabili e rispettabili come Certora vedono l'IA come uno strumento da sfruttare nel processo di auditing, non come qualcosa che sostituisce completamente le responsabilità degli auditor umani.

L'intelligenza artificiale può aiutare a identificare le vulnerabilità e a suggerire alternative, ma i revisori devono comunque esaminare le basi di codice con un pettine a denti stretti per determinare l'accuratezza dei risultati di uno strumento di intelligenza artificiale. L'IA non può replicare il pensiero critico e fuori dagli schemi richiesto agli auditor. I programmi complessi offrono inevitabilmente un'ampia superficie per potenziali attacchi e casi limite sfruttabili, quindi la supervisione umana è ancora essenziale per un audit sicuro e proattivo.

Responsabile della sicurezza di oltre 10 miliardi di dollari di TVL onchain di Solana (e di 100 miliardi di dollari nel più ampio spazio DeFi), Certora suggerisce che un approccio ibrido e accorto agli audit di sicurezza produce costantemente i migliori risultati, portando sia alle applicazioni che agli utenti una tranquillità senza pari quando navigano nell'economia onchain.

Per saperne di più su SolanaFloor

I potenziali emittenti di ETF esclusi dalla quotazione di BSOL

Fidelity modifica il deposito dell'ETF S-1 $SOL - quotazione tra 20 giorni?

Quali sono i maggiori problemi che Solana deve affrontare in questo momento?