Chi non vorrebbe costruire un’app in un weekend, magari tra un cocktail e un tweet ironico, con la stessa leggerezza con cui si manda un messaggio vocale? È l’era del vibe coding, la nuova religione dei fondatori frettolosi e dei VC ansiosi di cavalcare il prossimo unicorno. Digiti su un chatbot: “Fammi un’app di dating sicura e inclusiva”. Copi, incolli, compili. L’app esplode su App Store, i giornali applaudono, gli investitori brindano. Poi, all’improvviso, l’inferno.

La catastrofe di Tea, l’app pensata per “proteggere” le donne segnalando uomini problematici, è più che un incidente di sicurezza. È un manifesto contro il mito del codice generato dall’intelligenza artificiale senza revisione umana. Più di 72.000 immagini private, inclusi documenti governativi, sono finite online grazie a un database completamente aperto, senza password, senza crittografia, niente. Un secchio bucato su Firebase lasciato in bella vista come un cartello “Rubami”. Il paradosso è quasi comico: un’app per la sicurezza delle donne che finisce per esporre proprio quelle donne a stalker, ricatti e furti d’identità. La privacy trasformata in un buffet per troll su 4chan.

Chiamiamolo col suo nome: vibe coding non è un approccio creativo, è un azzardo strutturale. Il problema non è l’intelligenza artificiale in sé, ma il feticismo da “AI first, security never” che sta contagiando startup e persino corporate. Andrej Karpathy, uno che la sa lunga, lo ha detto con candore: “Vedo cose, dico cose, faccio cose e copio-incolla cose, e nella maggior parte dei casi funziona”. Sì, funziona… finché non devi gestire dati sensibili, milioni di utenti o normative come il GDPR. Ma evidentemente la sicurezza, per molti founder, è solo un dettaglio da demandare a un update futuro, quando ormai è troppo tardi.

L’ironia del caso Tea è doppia. Non solo i documenti trapelati sono recentissimi, smentendo le rassicurazioni dell’azienda, ma l’architettura stessa era stata “pensata” per prevenire cyberbullismo con una raccolta forzata di ID governativi. Una pistola carica lasciata sul tavolo. Appena il thread su 4chan è esploso, script automatici hanno iniziato a grattare dati e a distribuirli su reti decentralizzate. In pratica, irreversibile. Il sogno della “sororità digitale” finito in un mercato nero di selfie verificati.

C’è chi ride, ovviamente. Reddit è pieno di commenti al vetriolo. “Crei un’app per doxxare uomini per invidia e finisci per doxxare le tue utenti. Meraviglioso.” È lo schadenfreude 2.0, ma dietro la risata c’è una lezione brutale: il vibe coding è perfetto per il prototipo da hackathon, disastroso per qualsiasi applicazione che gestisca identità, pagamenti o dati personali.

Eppure questo approccio continua a proliferare. La metà del codice generato dalle AI, secondo Georgetown, contiene vulnerabilità sfruttabili. Un quarto delle startup di Y Combinator basa il proprio core su funzioni scritte in questo modo. Persino giganti come Google e Microsoft vendono il mito dell’AI che “scrive codice migliore degli umani”. Peccato che non sia vero, non per i comuni mortali. I pacchetti suggeriti dalle AI spesso non esistono, spianando la strada al fenomeno del slopsquatting, con hacker che creano librerie fittizie piene di malware. Gli sviluppatori, fiduciosi, le scaricano senza controllare.

Se la questione Tea vi sembra un incidente isolato, ricordate il caso di SaaStr di inizio 2025. Lì un agente AI ha cancellato l’intero database di produzione durante una sessione di “vibe coding”. Non solo: ha poi inventato dati fittizi, creato account falsi e persino mentito nei log. Un assistente digitale che, in un eccesso di creatività, si è trasformato in un piromane.

E qui entra in gioco la vera domanda strategica. Stiamo normalizzando il concetto che “basta che funzioni” sia sufficiente per lanciare un prodotto su larga scala? È un segnale allarmante, perché il codice è infrastruttura critica, non un meme da TikTok. Ogni linea generata senza supervisione è una possibile porta d’ingresso per un exploit. La sicurezza non è opzionale, ma richiede tempo, competenze e una mentalità che il vibe coding, per definizione, disprezza.

Forse il problema non è l’AI, ma chi la usa con la stessa leggerezza con cui si sceglie un filtro su Instagram. È una questione culturale: la generazione dei founder convinta che “move fast and break things” significhi rompere tutto, anche la fiducia degli utenti. Il vero rischio del vibe coding non è tecnico, è reputazionale. Per Tea, la credibilità è già bruciata. E nel mercato dei dati personali, la fiducia vale più di qualsiasi algoritmo generativo.

L’ironia finale? Il vibe coding continuerà a diffondersi perché è veloce, economico e “cool”. Ma ogni nuovo disastro diventerà un case study perfetto per avvocati specializzati in class action e per investitori che, alla prossima ondata di breach, si chiederanno se finanziare un team che scrive codice “solo per vibes” sia un investimento o un suicidio assistito.