Hackerspace News

News

CISA e il manuale su come farsi hackerare (versione GitHub)

🇮🇹 · /root · Lamberto Tedaldi

C’è una differenza sottile, ma fondamentale, tra il fare un esperimento rischioso nel proprio laboratorio e lasciare le chiavi della cassaforte dell’agenzia di cybersecurity nazionale appese al pomello della porta di casa. La seconda opzione, evidentemente, è la preferita da alcuni geni della CISA. Secondo quanto riportato da Ars Technica, è emerso che chiavi SSH, password in chiaro e altri dati sensibilissimi sono rimasti esposti in un repository pubblico su GitHub da novembre 2025. Sì, avete letto bene. Parliamo della Cybersecurity and Infrastructure Security Agency, gente che dovrebbe essere il nostro punto di riferimento per la difesa delle infrastrutture critiche, e che invece ha gestito il proprio codice con la stessa cura con cui io gestisco i cavi sotto la scrivania quando ho fretta di finire un progetto. Non è solo un errore tecnico, è un vero e proprio ‘stunning display of stupid’. Noi che passiamo le notti a configurare server, a scriptare automazioni per le nostre stampanti 3D o a testare vulnerabilità su vecchi sistemi arcade, sappiamo bene che il primo passo di ogni check di sicurezza è: ‘Non pushare mai le secret nel repo!’. È la regola numero uno, quella che impari anche quando scrivi il tuo primo script in Python per far lampeggiare un LED con un ESP32. Il fatto che queste credenziali siano state lì, beatamente esposte, per mesi è surreale. Mentre noi ci preoccupiamo di blindare i nostri piccoli ecosistemi domestici, le istituzioni che dovrebbero proteggerci sembrano gestire il proprio debito tecnico come se fosse una collezione di vecchi floppy disk scaduti. È il classico caso in cui l’hype per la sicurezza digitale non corrisponde minimamente alla realtà operativa. Cosa significa per noi? Per noi che amiamo smontare le cose, questo è un promemoria brutale. Se un’agenzia governativa può fallire così clamorosamente nel gestire i propri segreti, non abbiamo nessuna scusa per essere negligenti con i nostri progetti. La lezione è semplice: controllate i vostri .gitignore, usate i file .env e non fate affidamento sulla ‘sicurezza tramite oscurità’. Se una cosa è pubblica, è già compromessa. In un mondo di complessità crescente, dove l’IA e le infrastrutture critiche sono sempre più interconnesse, vedere tale negligenza fa venire i brividi. Speriamo solo che, dopo questo grande exploit di incompetenza, abbiano finalmente imparato a usare un vault decente invece di trattare GitHub come un diario segreto condiviso con l’intero pianeta. Source: In stunning display of stupid, secret CISA credentials found in public GitHub repo

webnewscybersecurityData LeakGitHubinfosec

Addio debugging notturno: gli agenti AI hanno finalmente imparato a scrivere codice decente

🇮🇹 · /root · Lamberto Tedaldi

Smettete di considerare l’IA come un collega junior che scrive codice a caso e che ha appena bevuto dieci caffè scadenti. Per tutto il 2025 abbiamo assistito a questo grande loop di hype in cui OpenAI e Anthropic ci promettevano rivoluzioni che, onestamente, si traducevano spesso in un sacco di tempo perso a correggere errori banali. Ma, secondo quanto emerso dagli ultimi dati, qualcosa è cambiato davvero intorno a novembre. Non è stata magia, ma un massiccio uso di Reinforcement Learning con ricompense verificabili (RLVR, per i più nerd del settore). In parole povere: hanno smesso di far imparare ai modelli a ‘suonare bene’ e hanno iniziato a farli imparare a ‘funzionare davvero’. Il risultato? I coding agent, come quelli integrati in Claude Code o le evoluzioni di Codex, hanno superato quella fastidiosa barriera di qualità che rendeva l’automazione un esperimento interessante ma frustrante. Siamo passati dal livello «vediamo se questo script gira senza esplodere tutto» al livello «posso usarlo come daily driver per task reali». Questo significa che non devi più passare il 90% del tempo a fare debugging delle stupidaggie generate dalla macchina. Dal mio piccolo angolo di mondo, tra un progetto in Godot e la manutenzione di una vecchia CNC che riga troppo, trovo questa cosa estremamente eccitante. Per noi che amiamo smanettare, costruire prototipi e scrivere script per automatizzare la nostra vita, avere un agente che scrive codice solido significa poter saltare la parte noiosa (il boilerplate, la gestione dei casi limite assurdi) per concentrarsi sulla logica vera, quella creativa. È come passare dal dover ricostruire ogni singolo ingranaggio di un motore dal ferro grezzo all’avere un kit di componenti pre-assemblati di alta qualità. Certo, non è tutto rose e fiori. Il rischio di finire intrappolati in un ecosistema dove solo i colossi possono permettersi di addestrare questi modelli è altissimo. Il vendor lock-in sta diventando una prigione dorata: i modelli sono fighissimi, ma se domani decidono di alzare i prezzi o limitare le API, siamo fregati. E non dimentichiamoci la privacy: far girare agenti che leggono tutto il nostro codebase è un rischio che va pesato bene, specialmente se state lavorando a qualcosa di proprietario o su hardware custom. In conclusione: il coding agent non è più solo un giocattolo da usare su ChatGPT mentre aspetti che l’acqua bolla. È diventato uno strumento di produzione. Quindi, preparate i prompt, perché la velocità di iterazione sta per fare un salto quantico. Ma tenete sempre un occhio al codice: l’IA è brava, ma non ha ancora l’istinto di un maker che ha passato la notte a saldare un PCB sbagliato. Source: The last six months in LLMs in five minutes

webnewsaiCoding AgentsLLMprogramming