23 marzo 2026 · 6 min lettura
Self-HostingLa cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Self-Hosting900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
Da YNAB a Google Photos, ogni SaaS che usi ha un'alternativa self-hosted su PikaPods a meno di $6 al mese. 10 confronti con prezzi reali.
Daniel Stenberg ha chiuso il bug bounty di cURL il 31 gennaio 2026. Sei anni di programma, oltre 100.000 dollari pagati a ricercatori veri, e poi basta. Il tasso di segnalazioni valide era precipitato dal 15% al 5% in dodici mesi. L'ultima goccia: sette report fasulli in sedici ore, tutti generati da LLM, tutti confezionati abbastanza bene da richiedere tempo umano per essere smontati.
Mitchell Hashimoto, il creatore di Ghostty, ha messo un ban permanente su chiunque invii codice AI senza capire cosa stia proponendo. Steve Ruiz, autore di tldraw, ha chiuso tutte le PR esterne dal 15 gennaio. Rémi Verschelde di Godot si ritrova con 4.681 pull request aperte e la certezza che una buona parte sia spazzatura mascherata. E GitHub, che ha creato le condizioni per questa valanga, il 14 febbraio ha rilasciato due nuove impostazioni per limitare le PR automatiche.
Il tempismo sarebbe comico, se non ci fosse gente che lavora gratis a tenere in piedi il software su cui gira mezzo Internet.
Il report OSSRA 2026 di Black Duck ha analizzato 947 codebase commerciali in 17 settori. I risultati sono il tipo di lettura che rovina la giornata: il numero medio di vulnerabilità per codebase è 581, in crescita del 107% rispetto all'anno precedente. L'87% delle codebase contiene almeno una vulnerabilità. Il 44% ne ha di critiche. I conflitti di licenza hanno toccato il 68%, il massimo storico.
E c'è un dato che da solo racconta la crisi meglio di qualsiasi editoriale: il 93% dei componenti open source analizzati risulta inattivo da almeno due anni. Nessun commit, nessuna release, nessun maintainer che risponde alle issue. Codice abbandonato che continua a girare in produzione perché nessuno si prende la briga di aggiornare le dipendenze.
Stiamo cercando di togliere ogni incentivo a inviarci bugie inventate. La qualità delle segnalazioni è precipitata: non sono solo spazzatura evidente, ma anche quelle che non sembrano generate dall'AI sono mediamente peggiori di prima. — Daniel Stenberg, cURL
C'è un paradosso che nessuno a Redmond ama sentirsi ricordare. GitHub Copilot genera codice. Quel codice diventa PR su repository open source. I maintainer affogano. GitHub rilascia strumenti per arginare le PR automatiche. E nel frattempo incassa dall'abbonamento Copilot. L'85% delle organizzazioni usa già un AI coding assistant, secondo lo stesso OSSRA. Xavier Portilla Edo di Voiceflow ha messo nero su bianco un dato che tutti sospettavano: solo una PR AI su dieci è legittima.
Le altre nove consumano il tempo di qualcuno che non viene pagato per fare da filtro.
È logorante e demoralizzante. Dobbiamo mettere in dubbio ogni singola PR da contributor nuovi, più volte al giorno. Non so per quanto ancora riusciremo ad andare avanti. — Rémi Verschelde, Godot Engine
Stefan Prodan di Flux CD l'ha riassunto con una metafora che vale più di cento analisi: «l'AI slop è un attacco DDoS ai maintainer». E come ogni buon DDoS, funziona perché il bersaglio ha risorse limitate mentre l'attaccante può scalare all'infinito.
Un paper della CEU e del Kiel Institute, pubblicato su arXiv con il titolo Vibe Coding Kills Open Source, ha formalizzato quello che molti percepivano: l'uso massiccio degli LLM per generare codice riduce l'engagement con la documentazione, con i bug report, con i maintainer. Il vibe coding produce codice, ma non produce comprensione.
Il punto è che l'open source non ha mai funzionato nonostante la frizione. Ha funzionato grazie alla frizione. La fatica di leggere un codebase, scrivere un test, capire un'architettura prima di proporre una modifica era il filtro naturale. Chi superava quella soglia di solito aveva qualcosa di utile da contribuire. L'AI ha azzerato la soglia, e con essa il segnale.
Hashimoto non ha usato giri di parole per spiegare la policy di Ghostty.
Non siamo contro l'intelligenza artificiale. Siamo contro gli incompetenti. — Mitchell Hashimoto, Ghostty
Adam Wathan di Tailwind CSS ha condiviso numeri che rendono la questione concretissima: il traffico sulla documentazione è calato del 40%, i ricavi dell'80%. Wathan ha licenziato il 75% degli ingegneri. Il meccanismo è semplice e brutale: gli LLM ingeriscono la documentazione, gli sviluppatori smettono di visitarla, i prodotti commerciali che la documentazione promuove perdono visibilità.
«La documentazione è l'unico modo in cui le persone scoprono i nostri prodotti commerciali», ha detto Wathan. «Senza clienti non possiamo permetterci di mantenere il framework.» L'attività su Stack Overflow è diminuita del 25% dopo l'arrivo di ChatGPT, secondo InfoQ. La conoscenza che alimentava l'ecosistema si sta spostando dentro modelli chiusi, e dall'altra parte non torna indietro nulla.
Ogni volta che fai docker pull stai scommettendo che un volontario non pagato, da qualche parte, abbia rifiutato 9 PR spazzatura su 10, verificato le dipendenze, e pubblicato una release pulita. Le 581 vulnerabilità medie per codebase del report OSSRA non riguardano solo le enterprise: riguardano ntfy, Nginx Proxy Manager, Vaultwarden, Home Assistant, ogni container che gira nel tuo stack. Ne avevamo già parlato con il caso OpenClaw e le skill infette: la catena di fiducia è sottile, e si sta assottigliando.
Un caso emblematico: ntfy, lo strumento di notifiche push self-hosted che mezzo homelab usa, nella versione 2.18 ha introdotto il supporto PostgreSQL con 14.997 righe generate dall'AI. Il portale selfh.st ha aggiunto un toggle per nascondere i progetti con forte componente AI. Coolify ha creato un'Anti Slop Action che chiude automaticamente il 98% delle PR problematiche.
Le risposte della comunità sono frammentate ma concrete. Gentoo Linux ha vietato i contributi AI già nell'aprile 2024, quando il problema era ancora una curiosità accademica. Coolify filtra automaticamente. GitHub offre interruttori. Ma sono tutte soluzioni difensive, costruite da chi subisce il problema, non da chi lo crea.
Colin Eberhardt di Scott Logic ha centrato il nocciolo: «l'AI non ha gusto. Non sente la puzza del codice cattivo e non apprezza l'eleganza di un'astrazione ben progettata.» Il gusto lo mette chi fa review. E chi fa review, in open source, lo fa gratis.
93% di componenti open source inattivi. 581 vulnerabilità medie per codebase. 1 PR AI su 10 che vale qualcosa. E dall'altra parte della barricata, volontari non pagati che valutano le altre nove.
Fonti: Black Duck OSSRA 2026, The Register (GitHub kill switch), InfoQ (vibe coding threatens OSS), The New Stack (cURL bug bounty), Jeff Geerling, arXiv (Vibe Coding Kills OSS)