Il mondo dello sviluppo software sta vivendo una rivoluzione, o meglio, una piccola apocalisse silenziosa. Gli assistenti di programmazione basati su intelligenza artificiale, da strumenti come Cursor a Windsurf, Kiro e Aider, stanno rapidamente diventando indispensabili per i developer. Ma la dipendenza crescente da AI automatizzate porta con sé un lato oscuro: attacchi sofisticati capaci di trasformare questi strumenti in veicoli inconsapevoli di codice malevolo. Secondo HiddenLayer, azienda di cybersecurity, un nuovo proof-of-concept denominato CopyPasta License Attack dimostra come un semplice file LICENSE.txt possa essere sfruttato per manipolare AI coding assistants senza che l’utente se ne accorga.
Il meccanismo è inquietantemente semplice: l’attacco sfrutta la naturale fiducia che gli assistenti AI ripongono nei file di licenza o nella documentazione come README.md. All’interno di questi file vengono nascoste istruzioni malevole, conosciute come prompt injection, che convincono l’AI a replicare codice dannoso in ogni progetto in cui interviene. La propagazione non è automatica come un worm: richiede una minima interazione dell’utente, per esempio aprire o modificare un repository. Ma anche questa minima azione basta a trasformare il codice AI in un propagatore silenzioso di vulnerabilità.
Kenneth Yeung, ricercatore di HiddenLayer, spiega che la CopyPasta è più assimilabile a un virus che a un worm, proprio perché la propagazione richiede una qualche azione dell’utente. “Il pericolo principale è la capacità del virus di nascondersi in commenti invisibili nei README, file spesso affidati agli AI agent per aggiornamenti o scrittura automatica”, afferma Yeung. L’analogia con i virus informatici tradizionali non è casuale: i file infetti diventano nuovi vettori, capaci di compromettere ulteriori assistenti AI che leggono quei contenuti, creando una catena di infezione attraverso interi ambienti di sviluppo.
La CopyPasta License Attack nasce da vulnerabilità specifiche dei modelli AI da coding. Cursor, per esempio, è progettato per dare priorità a compiti importanti come l’inclusione di licenze nei progetti software. Questo comportamento, unito alla capacità di interpretare prompt complessi e nascosti nei commenti markdown, permette al malware di replicarsi in modo obfuscato, aggiungendo righe di codice potenzialmente dannose in nuovi file o repository. Un payload di prova può sembrare innocuo, come l’inserimento di una singola istruzione Python per testare la connettività, ma la stessa tecnica potrebbe essere adattata per backdoor, esfiltrazione di credenziali SSH, furto di chiavi API o manipolazioni sofisticate dei sistemi di produzione.
La gravità della minaccia risiede anche nella velocità e nella portata dell’attacco. In passato, esempi teorici come Morris II miravano a compromettere agenti email AI per inviare spam o rubare dati, ma la necessità di revisione umana e i limiti operativi dei sistemi impedivano la diffusione su larga scala. CopyPasta innalza il concetto a un livello superiore, sfruttando la natura esecutiva dei file di codice e la fiducia implicita degli assistenti AI, rendendo possibile la compromissione simultanea di più sistemi attraverso la lettura di documentazione apparentemente innocua.
I rischi concreti per le aziende sono evidenti. In un contesto di sviluppo distribuito, con team che utilizzano CI/CD automatizzati e AI per generare porzioni significative di codice, un singolo file infetto può propagarsi rapidamente. Anche con misure di revisione del codice, l’inganno è subdolo: la CopyPasta utilizza tecniche di prompt engineering avanzato, come HL03.04 – Imperative Emphasis e HL03.09 – Syntax-Based Input, per mascherare istruzioni come comandi legittimi. Un developer inesperto o un team troppo fiducioso negli strumenti AI potrebbe approvare modifiche compromettenti senza accorgersene.
La difesa richiede consapevolezza e sistemi di controllo più sofisticati. Ogni input esterno al contesto dei modelli AI deve essere considerato potenzialmente malevolo. Organizzazioni lungimiranti stanno implementando scanner automatici per rilevare istruzioni nascoste nei file, policy di revisione obbligatorie e restrizioni sulle operazioni che gli AI agent possono eseguire autonomamente. L’adozione di best practice di sicurezza nello sviluppo software, come la revisione del codice per ogni commit e la segregazione dei privilegi dei modelli AI, diventa essenziale per mitigare questi rischi.
L’aspetto inquietante è la rapidità con cui strumenti come Cursor stanno penetrando i flussi di lavoro: Coinbase, per esempio, punta a generare oltre il 50% del proprio codice quotidiano tramite AI entro ottobre 2025. In un contesto simile, la propagazione di prompt malevoli potrebbe avere impatti significativi. Non si tratta più di scenari teorici: CopyPasta mostra chiaramente che gli assistenti AI, così come li conosciamo, possono diventare complici inconsapevoli di attacchi digitali, trasformando file ordinari in mine vaganti per interi ecosistemi di sviluppo.
Il caso CopyPasta invita a riflettere sul concetto di fiducia nei sistemi AI. La dipendenza da agenti autonomi e semi-autonomi rende la sicurezza software più complessa, perché la superficie di attacco si amplia oltre il codice scritto da umani. I file di documentazione, una volta considerati innocui, diventano vettori di infezione. La lezione è chiara: l’innovazione portata dall’AI nei coding assistants deve essere bilanciata con sistemi di difesa attivi, audit continui e cultura della sicurezza tra sviluppatori.
La CopyPasta License Attack rappresenta un cambio di paradigma: gli assistenti AI non sono solo strumenti produttivi, ma potenziali propagatori di minacce. La strada verso una sicurezza reale passa dall’integrazione di misure di controllo, revisione scrupolosa dei file, e dalla consapevolezza che qualsiasi dato iniettato nel contesto dei modelli AI può essere una porta d’accesso per attori malintenzionati. Ignorare queste vulnerabilità significa rischiare che l’AI, così come la conosciamo, diventi non un alleato, ma un veicolo silenzioso di attacchi su scala industriale.
Rivista.AI Academy
GNU general public license: la libertà software che sfida il mercato