24 marzo 2026 · 5 min lettura
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Self-HostingLa cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Ventiquattro CVE assegnati, trenta falle totali, il 100% dei prodotti testati bucati. Ari Marzouk, ricercatore Microsoft del team MaccariTA, ha impiegato sei mesi per documentare una classe di vulnerabilità AI IDE che ha chiamato IDEsaster — e il nome non è iperbole. Cursor, Copilot, Windsurf, Claude Code, Kiro, Zed, Roo Code, Junie, Cline, Gemini CLI: nessuno si salva. La catena di attacco è sempre la stessa: Prompt Injection → Agent Tools → funzionalità native dell'IDE. Chi ha seguito il doppio breach di Trivy via GitHub Actions riconosce lo schema: la supply chain non si spezza dove pensi.
La scoperta ribalta un assunto comodo. Non parliamo di un plugin malevolo da marketplace, né di un server mal configurato. Il vettore d'attacco è il coding assistant stesso — lo strumento che gira con i tuoi permessi, legge i tuoi .env, ha accesso SSH.
Marzouk la mette così: "Il fatto che catene di attacco universali abbiano colpito ogni singolo AI IDE testato è la scoperta più sorprendente di questa ricerca." Universali. Non exploit mirati a un vendor — pattern ripetibili su tutta la categoria.
Il meccanismo: un file di progetto avvelenato (README, commento nel codice, issue GitHub) inietta istruzioni nell'LLM. L'agente le esegue perché ha accesso a tool reali — terminale, filesystem, rete. A quel punto le funzionalità native dell'IDE diventano armi: lettura file arbitrari, esecuzione comandi, esfiltrazione dati. Nessuna sandbox. Nessun confine tra "suggerimento" e "azione".
C'è un dettaglio che aggrava il quadro. OX Security ha verificato che Cursor e Windsurf girano su un Chromium sei major release indietro, con 94+ CVE noti non patchati. Un milione e ottocentomila sviluppatori — la base utenti combinata — esposti a vulnerabilità del browser prima ancora di considerare quelle dell'agente AI.
La risposta di Cursor? "We consider self-DOS to be out of scope." Windsurf non ha risposto affatto. Tigran Bayburtsyan coglie il punto: "Non stiamo parlando di un problema di patch management. È una crisi architetturale."
In parallelo alla ricerca IDEsaster, l'ecosistema MCP (Model Context Protocol) ha collezionato 30+ CVE in sessanta giorni tra gennaio e febbraio 2026. Il 36.7% dei server MCP che accettano URL esterni è vulnerabile a SSRF — dato ricavato dalla scansione di 5,618 server.
Chi usa MCP server nel proprio homelab — e se il 12% delle skill AI risulta infetto, la percentuale non è trascurabile — combina due superfici d'attacco: quella dell'IDE è quella del protocollo. Pluto Security lo ha quantificato sui server Ollama: "Chiunque sulla stessa rete locale può eseguire codice sulla tua macchina come root inviando due richieste HTTP, senza alcuna autenticazione." Centosettantacinquemila server Ollama esposti su internet, zero autenticazione.
Nel 2024, 27 estensioni VS Code malevole. Nel 2025, 105 — un aumento del 289%. L'attacco GlassWorm su OpenVSX a ottobre 2025. Wiz che trova 550+ secret hardcoded nelle estensioni VS Code. Poi, ad aprile 2023, i primi attacchi prompt injection su ChatGPT. A dicembre 2025, Marzouk formalizza la classe IDEsaster. La traiettoria è lineare, prevedibile — e ignorata.
Simon Willison, che batte su questo tasto da anni, sintetizza: "I vendor di LLM non verranno a salvarci. Tocca a noi evitare la combinazione letale: accesso a dati privati, esposizione a contenuti non fidati, e capacità di comunicare verso l'esterno." È il triangolo che ogni AI IDE implementa by design.
Marzouk e Schneier vedono un difetto architetturale irrimediabile: dare tool reali a un sistema vulnerabile a injection è un errore di progettazione, non un bug patchabile. ISACA prende la linea pragmatica — "Monitor more, ban less" — perché ogni divieto genera workaround, e il 38% dei dipendenti ammette già di condividere dati confidenziali con strumenti AI senza autorizzazione. Solo il 30% del codice AI-suggerito viene accettato: la review umana resta predominante.
Poi ci sono i vendor. Cursor che archivia come "out of scope". Windsurf che non risponde. AWS che emette il security advisory AWS-2025-019 per IDEsaster — mentre i produttori degli IDE tacciono.
L'AI Act europeo entra in vigore il 2 agosto 2026 con sanzioni fino a 35 milioni di euro o il 7% del fatturato. Gli sviluppatori EU che usano Cursor o Windsurf senza governance potrebbero trovarsi in violazione. Detto in termini meno burocratici: serve un piano, subito. Chi gestisce un homelab con stack AI lo sa già — il confine tra sperimentazione e incidente è sottile.
IDEsaster non è un nome melodrammatico. È una descrizione accurata. Ventiquattro CVE, il 100% degli IDE testati bucati, un ecosistema MCP che accumula trenta falle in due mesi, vendor che minimizzano o tacciono. Nel frattempo, 1.8 milioni di sviluppatori scrivono codice su un Chromium fossile con 94 CVE aperti.
La copertura italiana resta frammentaria. Centosettantacinquemila server Ollama esposti, senza password, aspettano due richieste HTTP.
Fonti: Ari Marzouk, IDEsaster Research · OX Security, Chromium Analysis · Bruce Schneier on Prompt Injection · Simon Willison, Lethal Trifecta · Pluto Security, mcp-atlassian CVE · ISACA, AI Governance Framework · Indusface, Ollama Exposure · protodex.io