Webbare

Google migliora Gemini 2.5 Pro in vista dell’I/O 2025

admin — Wed, 07 May 2025 13:12:27 +0000

Google ha dato accesso anticipato a un’anteprima di Gemini 2.5 Pro, in vista della conferenza degli sviluppatori I/O 2025 che si terrà tra un paio di settimane.

Perché tanta fretta? Google ha attribuito la decisione al “travolgente entusiasmo” e alle “cose straordinarie” che gli sviluppatori stavano già preparando con la versione precedente di Gemini 2.5 Pro. Sembra che non vedano l’ora di mettere in circolazione queste funzionalità potenziate.

Non si tratta solo di una nuova verniciatura. L’azienda sostiene questa nuova versione sulla base del “feedback estremamente positivo” ricevuto per l’originale Gemini 2.5 Pro, soprattutto per quanto riguarda la codifica e la capacità di gestire diversi tipi di informazioni.

Ci viene detto di aspettarci “miglioramenti significativi per lo sviluppo front-end e dell’interfaccia utente”, il che sarà musica per le orecchie di molti sviluppatori web. Ma le buone notizie non si fermano qui: secondo quanto riferito, i miglioramenti si estendono in profondità nel kit di strumenti di codifica, coprendo le trasformazioni di codice complicate, la modifica dettagliata del codice e persino lo sviluppo di quei flussi di lavoro agenziali intelligenti – sistemi di intelligenza artificiale che possono praticamente eseguire compiti da soli.

La prova, come si suol dire, è nel budino o, in questo caso, nelle classifiche. Gemini 2.5 Pro ha conquistato il primo posto nella classifica di WebDev Arena, superando il suo predecessore di ben 147 punti Elo. Per coloro che non tengono il conto, questa classifica è molto importante: è il luogo in cui gli esperti umani valutano la capacità dei modelli di intelligenza artificiale di costruire siti web che non solo funzionino senza problemi, ma che abbiano anche un aspetto professionale.

Questo balzo in classifica suggerisce un vero e proprio passo avanti nella capacità dell’IA di contribuire a creare esperienze web veramente curate e di facile utilizzo. Google afferma inoltre che questo vantaggio sta già “alimentando l’innovativo agente di codice di Cursor” e alimentando collaborazioni con brillanti aziende come Cognition e Replit, che stanno spingendo insieme “le frontiere della programmazione agenziale”.

Michael Truell, CEO di Cursor, ha dichiarato: “Siamo entusiasti dell’ultima versione di Gemini 2.5 Pro, che si basa sulle sue già forti capacità di codifica nel mondo reale. Stiamo osservando internamente che il nuovo modello ha una significativa riduzione della mancata chiamata degli strumenti, un miglioramento che crediamo i nostri utenti troveranno rende 2.5 Pro ancora più efficace di prima in Cursor”.

Michele Catasta, Presidente di Replit, ha aggiunto: “Abbiamo constatato che Gemini 2.5 Pro è il miglior modello di frontiera per quanto riguarda il rapporto ‘capacità su latenza’. Non vedo l’ora di poterlo utilizzare su Replit Agent ogni volta che sarà necessario svolgere un’attività sensibile alla latenza con un elevato grado di affidabilità”.

Secondo Silas Alberti, del team fondatore di Cognition, l’aggiornamento di Gemini 2.5 Pro “raggiunge prestazioni di primo piano” nei suoi test di sviluppo. È stato il primo modello in assoluto a risolvere uno dei suoi evals “che prevedeva un refactor più ampio di un backend di routing delle richieste”.

Alberti afferma che l’aggiornamento di Gemini 2.5 Pro “si sente come uno sviluppatore più anziano, perché è stato in grado di prendere decisioni corrette e di scegliere buone astrazioni”. Questo suggerisce che l’intelligenza artificiale non si limita a sfornare codice, ma inizia a mostrare una comprensione più sfumata delle sfide di sviluppo.

Al di là della codifica più spinta, Gemini 2.5 Pro continua a mostrare i muscoli con la sua capacità di comprendere diversi tipi di media e di gestire una tonnellata di informazioni in un colpo solo. Google è particolarmente orgogliosa delle sue “prestazioni all’avanguardia nella comprensione dei video” e i numeri lo confermano: un punteggio dell’84,8% nel benchmark VideoMME. Se si unisce questa competenza video alle sue capacità di codifica, si ottengono alcune possibilità davvero nuove.

Prendiamo l’esempio di “Video to Learning App” che viene mostrato in Google AI Studio: è in grado di creare un’applicazione interattiva per l’apprendimento partendo da un singolo video di YouTube:

Che cosa significa questo per gli sviluppatori? La creazione di nuove funzionalità, soprattutto per il front-end dei siti web, potrebbe diventare molto meno complicata. Normalmente, questo comporta un lavoro minuzioso, immergendosi nei file di progettazione, osservando i componenti per abbinare gli stili come i colori, i caratteri, il padding e i bordi, e quindi realizzando manualmente il CSS.

Google suggerisce di utilizzare Gemini 2.5 Pro nell’editor di codice per generare nuovi elementi, come l’aggiunta di un lettore video che si adatti perfettamente allo stile dell’applicazione esistente:

Avete un’idea interessante per un’applicazione, ma temete la fatica di farla funzionare bene e avere un bell’aspetto? Gemini 2.5 Pro vuole essere il vostro nuovo migliore amico. Google indica una nuova app di dettatura, realizzata con questo modello aggiornato, come esempio lampante. L’azienda richiama l’attenzione su dettagli interessanti come “le animazioni della lunghezza d’onda, il design reattivo e i sottili effetti di passaggio dei pulsanti”.

Il modello ha un “vero gusto per lo sviluppo web estetico” per impostazione predefinita, pur lasciando che gli sviluppatori lo guidino, aiutandoli a trasformare rapidamente un concetto in un’applicazione web funzionante. In effetti, Gemini 2.5 Pro ha apparentemente progettato e codificato l’animazione dell’interfaccia utente del microfono per l’applicazione di dettatura.

Per gli sviluppatori desiderosi di immergersi, Gemini 2.5 Pro aggiornato è pronto e in attesa tramite l’API Gemini in Google AI Studio e, per le grandi aziende, è disponibile tramite Vertex AI. È stato inoltre integrato nella normale app Gemini a cui possono accedere gli utenti comuni, alimentando funzioni come Canvas e consentendo persino di “vibrare il codice”, in pratica permettendo a chiunque di creare applicazioni web interattive con una semplice richiesta.

La parte migliore per gli sviluppatori che già utilizzano Gemini 2.5 Pro? L’aggiornamento dovrebbe avvenire senza problemi. La vecchia versione (03-25) ora punta automaticamente a questa nuova e più brillante (05-06), quindi non c’è nulla da fare per iniziare a usare il modello migliorato, e tutto allo stesso prezzo.

Google afferma inoltre che questa nuova versione affronta in modo specifico alcuni punti chiave del feedback degli sviluppatori, come “la riduzione degli errori nelle chiamate di funzione e il miglioramento del divertimento”.

L'articolo Google migliora Gemini 2.5 Pro in vista dell’I/O 2025 proviene da Webbare.

AIO: la Nuova Frontiera del Content Marketing nell’Era dell’AI

admin — Thu, 17 Apr 2025 07:38:04 +0000

Il marketing digitale sta attraversando una trasformazione silenziosa ma profonda, un mutamento che si muove sotto la superficie dei trend più visibili e che rischia di cogliere impreparati anche i professionisti più attenti. La causa? Non è l’ennesimo aggiornamento dell’algoritmo di Google, né un nuovo social network virale. È qualcosa di molto più strutturale: l’ascesa dell’intelligenza artificiale come principale interfaccia di scoperta delle informazioni.

Nel cuore di questa rivoluzione si sta formando una nuova disciplina, destinata a ridefinire il modo in cui le aziende progettano, distribuiscono e ottimizzano i propri contenuti online. Il suo nome è AIO – AI Optimization, e rappresenta l’evoluzione naturale (ma anche radicale) della SEO tradizionale.

Per decenni, la Search Engine Optimization ha regolato il traffico organico sul web, dettando le regole con cui costruire un contenuto “visibile”. Parole chiave, link interni, autorità del dominio, struttura del sito: tutto ruotava attorno alla capacità di soddisfare le esigenze degli algoritmi dei motori di ricerca. Ma qualcosa è cambiato. O meglio: sta cambiando, ogni giorno, in modo sempre più tangibile.

AI e traffico organico

Sempre più utenti – e tra loro molti decision maker e buyer B2B – non digitano più le loro ricerche su Google. Preferiscono conversare direttamente con sistemi avanzati come ChatGPT, Claude, Gemini o Perplexity, ponendo domande complesse e ricevendo risposte contestualizzate, strutturate, affidabili. L’interazione non è più tra utente e motore di ricerca, ma tra utente e intelligenza artificiale. E questo, per chi si occupa di marketing, cambia tutto.

L’impatto sull’ecosistema digitale è già osservabile: G2 ha registrato un calo del 50% nel traffico organico in soli due anni; piattaforme fondate sui contenuti generati dagli utenti, come StackOverflow, stanno vivendo un crollo di visibilità; persino aziende solide come Canva, HubSpot e Figma iniziano a percepire un’erosione del traffico SEO, poiché le risposte alle loro keyword vengono sempre più spesso fornite direttamente dai LLM (Large Language Models), senza passare per i classici “10 link blu”. Per chi non è esperto di marketing e motori di ricerca i “10 link blu” rappresentano un’espressione storica nel mondo della SEO e del search marketing, usata per indicare la classica pagina dei risultati di ricerca di Google, dove venivano mostrati – appunto – dieci link organici (non a pagamento), solitamente in colore blu, che portavano ai siti web più rilevanti in base alla query digitata.

Leggi qui il resto dell’articolo: https://pillsfornerds.com/aio-la-nuova-frontiera-del-content-marketing-nellera-dellai/

L'articolo AIO: la Nuova Frontiera del Content Marketing nell’Era dell’AI proviene da Webbare.

Microsoft Research insegna all’intelligenza artificiale come eseguire il debug del codice

admin — Wed, 16 Apr 2025 12:37:49 +0000

Microsoft Research ha presentato debug-gym, un ambiente innovativo progettato per addestrare gli strumenti AI nella complessa arte del debug del codice.

Con l’espansione del ruolo dell’intelligenza artificiale nello sviluppo del software, debug-gym mira a risolvere un problema critico: mentre l’intelligenza artificiale è in grado di generare codice in modo efficiente, il debugging rimane una perdita di tempo importante per gli sviluppatori.

La proliferazione degli assistenti di codifica AI sta migliorando la produttività degli sviluppatori. Thomas Dohmke, CEO di GitHub, ha previsto nel 2023 che “prima o poi l’80% del codice sarà scritto da Copilot”.

Questa tendenza è evidente in tutto il settore, con grandi aziende e startup che si affidano sempre più all’IA per la generazione di codice. Garry Tan di Y Combinator ha sottolineato questo aspetto, osservando che per un quarto del loro ultimo gruppo di startup, il 95% del codice è stato scritto da grandi modelli linguistici (LLM).

Tuttavia, la realtà dello sviluppo del software comporta una quantità di debug molto maggiore rispetto alla scrittura del codice iniziale.

“In qualità di manutentori di popolari repository open-source, questo dato ci colpisce”, ha dichiarato il team di Microsoft Research. Hanno posto una domanda interessante: “Ma cosa succederebbe se uno strumento di intelligenza artificiale potesse proporre correzioni per centinaia di problemi aperti e noi dovessimo solo approvarle prima dell’unione?”.

Il debug, secondo la definizione dei ricercatori, è un processo interattivo e iterativo di correzione del codice. Gli sviluppatori in genere formulano ipotesi sui crash, raccolgono prove attraverso l’esecuzione del codice, esaminano i valori delle variabili (spesso utilizzando strumenti come il debugger Python, pdb) e ripetono questo ciclo finché il problema non viene risolto.

Debug-gym mira a dotare gli agenti di intelligenza artificiale di simili capacità di debug del codice. Si chiede: “fino a che punto gli LLM possono utilizzare strumenti di debug interattivi come pdb?”.

L’ambiente fornisce agli agenti AI che eseguono la riparazione del codice l’accesso a strumenti per la ricerca attiva di informazioni, ampliando le loro capacità di azione e osservazione. Gli agenti all’interno di debug-gym possono impostare punti di interruzione, navigare nel codice, ispezionare i valori delle variabili, creare funzioni di test e scegliere se indagare ulteriormente o riscrivere il codice in base al loro livello di fiducia.

“Riteniamo che il debug interattivo con strumenti adeguati possa consentire agli agenti di codifica di affrontare compiti di ingegneria del software del mondo reale e che sia fondamentale per la ricerca sugli agenti basata su LLM”, ha spiegato il team di Microsoft.

Le correzioni proposte da questi agenti potenziati – dopo l’approvazione umana – sarebbero basate sul contesto specifico della base di codice, sui dettagli dell’esecuzione del programma e sulla documentazione, andando oltre le semplici congetture basate sui dati di addestramento.

Debug-gym è costruito con diverse considerazioni chiave:

Gestione a livello di repository: Gli agenti possono accedere e modificare i file dell’intero repository di codice.
Robustezza e sicurezza: L’esecuzione del codice avviene all’interno di contenitori Docker in sandbox, isolando l’ambiente per evitare azioni dannose e consentendo al contempo di eseguire test approfonditi.
Estensibilità: La piattaforma è progettata per una facile integrazione di nuovi strumenti di debug.
Interazione basata sul testo: Le osservazioni sono presentate in testo strutturato (come JSON) e le azioni utilizzano una semplice sintassi testuale, garantendo la compatibilità con i moderni LLM.

I ricercatori possono utilizzare debug-gym con repository personalizzati e valutare le prestazioni dell’agente utilizzando benchmark come Aider (generazione di funzioni semplici), Mini-nightmare (esempi brevi e buggati) e SWE-bench (problemi del mondo reale che richiedono una profonda comprensione della codebase).

I primi esperimenti hanno coinvolto un semplice agente basato su prompt che utilizzava vari LLM (tra cui Claude 3.7, OpenAI o1 e OpenAI o3-mini) dotati di strumenti di debug come eval, view, pdb, rewrite e listdir.

Anche con questi strumenti, la soluzione di problemi complessi come quelli di SWE-bench Lite è rimasta impegnativa (raramente ha superato il 50% di successo), ma l’aumento delle prestazioni rispetto agli agenti senza strumenti di debug è stato significativo.

Il tasso di successo su SWE-bench Lite ha registrato un aumento relativo del 30% per Claude 3.7, del 182% per OpenAI o1 e del 160% per OpenAI o3-mini quando erano disponibili gli strumenti di debug.

I ricercatori attribuiscono la difficoltà generale alla mancanza di dati decisionali sequenziali (come le tracce di debug) negli attuali set di dati di formazione LLM. Tuttavia, il netto miglioramento convalida il potenziale di questa direzione di ricerca.

Il team di Microsoft Research ritiene che il passo successivo sia la messa a punto di LLM specifici per il debug interattivo. Ciò richiede la creazione di set di dati specializzati, registrando potenzialmente le interazioni degli agenti all’interno del debugger mentre raccolgono informazioni per risolvere i problemi.

A differenza dei compiti di ragionamento standard, il debug interattivo comporta un ciclo di azione, feedback ambientale e successivo processo decisionale, che richiede dati ricchi che catturino l’intera sequenza di risoluzione dei problemi.

Il piano prevede la messa a punto di un “modello di ricerca di informazioni” dedicato alla raccolta delle informazioni necessarie per la correzione dei bug, che fornirebbe poi un contesto pertinente a un modello primario di generazione del codice. Ciò potrebbe comportare che modelli di ricerca di informazioni più piccoli ed efficienti alimentino modelli di generazione più grandi, come un sistema avanzato di Retrieval Augmented Generation (RAG), risparmiando potenzialmente sui costi di inferenza dell’intelligenza artificiale.

Con l’open-sourcing di debug-gym, Microsoft Research invita la comunità più ampia a contribuire al progresso degli agenti di debug interattivi e, più in generale, degli agenti di IA in grado di ricercare attivamente informazioni dal loro ambiente.

L'articolo Microsoft Research insegna all’intelligenza artificiale come eseguire il debug del codice proviene da Webbare.

Google migliora Android Studio con gli strumenti di AI Gemini per le aziende

admin — Wed, 09 Apr 2025 12:20:52 +0000

Google ha presentato i nuovi strumenti di intelligenza artificiale Gemini per le aziende in Android Studio, studiati su misura per soddisfare le loro esigenze di privacy, sicurezza e gestione.

L’aggiornamento mira a potenziare le organizzazioni integrando l’assistenza alla codifica basata sull’intelligenza artificiale e affrontando al contempo le preoccupazioni relative alla protezione dei dati e alla proprietà intellettuale (IP).

Sandhya Mohan, Product Manager per Android di Google, ha spiegato: “Abbiamo sentito che alcune aziende hanno esigenze aggiuntive che richiedono una maggiore protezione dei dati sensibili, e questa offerta offre lo stesso Gemini in Android Studio a cui siete abituati, ora con i miglioramenti aggiuntivi della privacy che la vostra organizzazione potrebbe richiedere”.

Disponibile nelle edizioni Standard o Enterprise di Gemini Code Assist, il servizio su abbonamento consente agli amministratori di assegnare le licenze tramite la console di Google Cloud.

Le aziende hanno accesso a protocolli di sicurezza migliorati, tra cui VPC Service Controls, Private Google Access e autorizzazioni IAM granulari. L’offerta è inoltre conforme alle certificazioni di settore come SOC 1/2/3, ISO/IEC 27001 e 27701, garantendo l’adesione agli standard globali di sicurezza e privacy.

Il codice rimane sicuro con Gemini per le aziende

Google sottolinea che il codice dei clienti, gli input e le raccomandazioni generate dall’intelligenza artificiale non vengono utilizzati per addestrare modelli condivisi o sviluppare prodotti. Le organizzazioni mantengono la piena proprietà dei loro dati e della loro proprietà intellettuale.

“La nostra politica di governance dei dati aiuta a garantire che il codice del cliente, i suoi input e le raccomandazioni generate non vengano utilizzati per addestrare modelli condivisi o per sviluppare prodotti”, ha aggiunto Mohan.

L’edizione Enterprise include anche l’indennizzo per la proprietà intellettuale dell’IA generativa, che protegge le aziende da rivendicazioni di copyright di terzi relative al codice generato dall’IA. Ciò è in linea con le politiche di indennizzo applicate alle API di IA generativa di Google Cloud.

Personalizzazione del codice su misura

Gli sviluppatori che utilizzano la licenza Enterprise possono connettere Gemini ai repository GitHub, GitLab o BitBucket – comprese le installazioni on-premise – per personalizzare i suggerimenti di codice basati sui framework interni. Questa integrazione consente a Gemini di allineare il completamento del codice, le generazioni e le risposte alla chat con le best practice dell’azienda.

Secondo Google, le aziende che utilizzano la personalizzazione del codice hanno registrato un miglioramento del 70% nei tassi di accettazione dei suggerimenti dell’intelligenza artificiale rispetto al modello di base.

“Le risposte personalizzate attraverso la personalizzazione del codice migliorano notevolmente la qualità delle risposte fornite dall’IA”, ha sottolineato Mohan.

Costruito per gli sviluppatori Android

Gemini in Android Studio continua a concentrarsi sui flussi di lavoro specifici di Android, offrendo strumenti quali:

Supporto per gli errori di compilazione e sincronizzazione: Approfondimenti mirati per risolvere i problemi di compilazione.
Approfondimenti sulla qualità delle app: Analisi dei crash segnalati tramite Google Play Console e Firebase Crashlytics.
Generazione dell’anteprima di Compose: Generazione rapida di anteprime di Jetpack Compose.

L’assistente AI si integra in tutto il ciclo di vita dello sviluppo, dalla scrittura e refactoring del codice alla pubblicazione delle app.

Le aziende necessitano di una licenza Gemini Code Assist Enterprise e di Android Studio Narwhal (disponibile sul canale “Canary”) per iniziare.

“Fornendo un indennizzo generativo per l’intelligenza artificiale e solidi strumenti di gestione aziendale, stiamo consentendo alle organizzazioni di innovare più velocemente e di creare applicazioni Android di alta qualità con fiducia”, conclude Mohan.

La versione gratuita di Gemini in Android Studio rimane disponibile per i singoli sviluppatori.

L'articolo Google migliora Android Studio con gli strumenti di AI Gemini per le aziende proviene da Webbare.

Scoperta una falla di sicurezza nel framework Next.js

admin — Wed, 26 Mar 2025 14:42:40 +0000

È stata scoperta una falla critica nella sicurezza nel popolare framework Next.js, che potrebbe avere un impatto su milioni di siti web e applicazioni.

I ricercatori di sicurezza Rachid Allam, noto online come zhero, e Yasser Allam (inzo_) hanno collaborato per scoprire la falla nella funzionalità middleware del framework.

Next.js, che vanta oltre 130.000 stelle su GitHub e quasi 10 milioni di download settimanali, è un framework costruito su React. Il suo ampio set di funzionalità lo rende una scelta popolare per gli sviluppatori, ma presenta anche un’ampia superficie di attacco per i ricercatori di sicurezza.

La vulnerabilità risiede nel modo in cui Next.js gestisce il middleware, una funzione che consente agli sviluppatori di eseguire codice prima che una richiesta sia completata.

Il middleware è un componente cruciale per diverse funzionalità, tra cui la riscrittura dei percorsi, i reindirizzamenti lato server, l’aggiunta di intestazioni di sicurezza come CSP e, soprattutto, l’autenticazione e l’autorizzazione.

Un esempio tipico fornito nel blog post illustra questo aspetto: “Quando un utente tenta di accedere a /dashboard/admin, la sua richiesta passa prima attraverso il middleware, che controlla se i suoi cookie di sessione sono validi e gli concede le autorizzazioni necessarie. In caso affermativo, il middleware inoltrerà la richiesta; altrimenti, il middleware reindirizzerà l’utente a una pagina di login”.

La scoperta dei ricercatori è avvenuta esaminando le versioni precedenti del framework. Analizzando la versione 12.0.7, hanno identificato un pezzo di codice specifico all’interno della funzione runMiddleware.

Questa funzione, responsabile dell’esecuzione del middleware, recupera il valore dell’intestazione x-middleware-subrequest. Questa intestazione serve a determinare se il middleware deve essere applicato a una determinata richiesta. Il valore di questa intestazione viene suddiviso in un elenco utilizzando i due punti (:) come separatore e il framework controlla se questo elenco contiene il valore middlewareInfo.name.

I ricercatori si sono resi conto che aggiungendo l’intestazione x-middleware-subrequest con un valore specifico a una richiesta, potevano effettivamente bypassare completamente il middleware.

“Ciò significa che se aggiungiamo l’intestazione x-middleware-subrequest con il valore corretto alla nostra richiesta, il middleware – qualunque sia il suo scopo – sarà completamente ignorato e la richiesta sarà inoltrata tramite NextResponse.next() e completerà il suo viaggio verso la destinazione originale senza che il middleware abbia alcun impatto/influenza su di essa”. L’intestazione e il suo valore agiscono come una chiave universale che consente di ignorare le regole”.

L’elemento cruciale era determinare il valore corretto per questa “chiave universale”, che dipende da middlewareInfo.name. Questo valore, si scopre, è il percorso del file middleware.

Nelle versioni precedenti di Next.js (prima della 12.2), i file middleware dovevano essere denominati _middleware.ts e risiedevano all’interno della directory pages a causa dell’uso esclusivo del router pages. Questo ha permesso ai ricercatori di dedurre il percorso esatto e quindi il valore dell’intestazione x-middleware-subrequest: pages/_middleware.

I test hanno confermato i loro sospetti. Quando si cercava di accedere a un percorso protetto come /dashboard/team/admin che era configurato per reindirizzare a /dashboard, l’aggiunta dell’intestazione x-middleware-subrequest: pages/_middleware consentiva di aggirare il reindirizzamento e di accedere direttamente alla pagina protetta.

Inoltre, le versioni precedenti alla 12.2 consentivano file middleware annidati, ognuno con il proprio ordine di esecuzione. Ciò significa che per un percorso come /dashboard/panel/admin, esistevano più valori potenziali per l’intestazione x-middleware-subrequest: pages/_middleware, pages/dashboard/_middleware o pages/dashboard/panel/_middleware.

Inizialmente, i ricercatori ritenevano che la vulnerabilità fosse limitata alle versioni precedenti alla 13, a causa di modifiche nella gestione del middleware. Tuttavia, il proseguimento delle indagini ha rivelato una realtà molto più preoccupante.

“Con grande sorpresa, due giorni dopo la scoperta iniziale, abbiamo scoperto che tutte le versioni di next.js, a partire dalla versione 11.1.4, erano vulnerabili”, ha dichiarato Allam.

Sebbene la posizione del codice e la logica di exploit siano leggermente cambiate nelle nuove versioni, la falla fondamentale è rimasta. A partire dalla versione 12.2, i file middleware sono denominati semplicemente middleware.ts e si trovano nella directory principale o nella directory /src, se utilizzata. Questo semplifica i valori potenziali per l’intestazione x-middleware-subrequest a middleware o src/middleware.

Nelle ultime versioni di Next.js, la logica si è evoluta nuovamente per evitare loop infiniti. Il framework ora controlla la profondità del valore dell’intestazione x-middleware-subrequest rispetto a un MAX_RECURSION_DEPTH (impostato a 5). Per aggirare il middleware in queste versioni, l’intestazione deve includere il percorso corretto ripetuto più volte.

I ricercatori hanno fornito esempi concreti di come questa vulnerabilità possa essere sfruttata in scenari reali:

Bypass dell’autorizzazione/riscrittura: Aggiungendo l’header dannoso, sono stati in grado di accedere a un endpoint /admin/login altrimenti protetto da un rewrite basato su middleware.
Bypass del CSP: Hanno dimostrato come la vulnerabilità potesse essere utilizzata per aggirare la Content Security Policy (CSP) e le impostazioni dei cookie applicate dal middleware.
Denial-of-Service (DoS) tramite cache-poisoning: In determinate configurazioni, la vulnerabilità potrebbe essere sfruttata per causare un attacco DoS con avvelenamento della cache. Ciò potrebbe verificarsi se un sito riscrive i percorsi degli utenti in base alla posizione e non ha una risorsa nel percorso principale. L’aggiramento del middleware porterebbe a un errore 404 sulla radice, che potrebbe essere memorizzato nella cache da un CDN per rendere potenzialmente inutilizzabile il sito.

Impatto e rimedio

“Per essere chiari, l’elemento vulnerabile è il middleware. Se non viene utilizzato (o almeno non viene utilizzato per scopi sensibili), non c’è nulla di cui preoccuparsi… poiché bypassando il middleware non si bypassa alcun meccanismo di sicurezza. In caso contrario, le conseguenze possono essere catastrofiche”, avvertono i ricercatori.

È stato emesso un avviso di sicurezza, CVE-2025-29927, per risolvere questa falla critica, alla quale è stato assegnato un punteggio CVSS di 9,1 su 10. I ricercatori hanno osservato che le piattaforme come Vercel non sono in grado di risolvere il problema.

I ricercatori hanno notato che piattaforme come Vercel e Netlify hanno implementato delle mitigazioni, anche se Cloudflare ha inizialmente introdotto una regola che è stata poi resa opt-in a causa dei falsi positivi.

“Questa vulnerabilità è presente da diversi anni nel codice sorgente di next.js, evolvendosi con il middleware e le sue modifiche nel corso delle versioni”, ha dichiarato Allam.

“Una vulnerabilità critica può verificarsi in qualsiasi software, ma quando colpisce uno dei framework più popolari, diventa particolarmente pericolosa e può avere gravi conseguenze per l’ecosistema in generale”.

Il team di Vercel, gli sviluppatori di Next.js, ha reagito prontamente una volta a conoscenza del problema. Una correzione è stata implementata e rilasciata nel giro di poche ore, includendo backport alle vecchie versioni supportate.

Agli sviluppatori che utilizzano Next.js si consiglia vivamente di aggiornare alle versioni corrette o di implementare immediatamente la soluzione consigliata.

L'articolo Scoperta una falla di sicurezza nel framework Next.js proviene da Webbare.

Discord rilascia un Social SDK gratuito per gli sviluppatori di giochi alla GDC

admin — Wed, 19 Mar 2025 13:18:50 +0000

Discord sta rilasciando un Social SDK, uno strumento gratuito per gli sviluppatori di giochi che integra le rinomate funzionalità sociali della piattaforma direttamente nei loro giochi. L’annuncio è stato fatto in occasione dell’annuale Game Developers Conference (GDC) di San Francisco.

“Mentre l’industria continua ad affrontare sfide difficili, la GDC rimane un luogo in cui le menti più appassionate e creative di tutto il mondo si incontrano e si connettono grazie al loro amore per i giochi”, ha dichiarato Stanislav Vishnevskiy, CTO e co-fondatore di Discord.

Il Discord Social SDK mira a potenziare gli sviluppatori di giochi di tutte le dimensioni consentendo loro di incorporare le funzionalità sociali di Discord, migliorando le esperienze multiplayer e la connettività dei giocatori.

Caratteristiche principali del Discord Social SDK

L’SDK – compatibile con i giochi realizzati con C++, Unreal Engine e Unity – supporta attualmente Windows 11+ e macOS, con supporto per console e dispositivi mobili previsto per le versioni future. Sfrutta la stessa tecnologia utilizzata dagli oltre 200 milioni di utenti attivi mensili di Discord.

Lista amici unificata: Questa funzione consolida le liste di amici di Discord e del gioco, consentendo ai giocatori di rimanere in contatto tra le varie piattaforme.
Inviti di gioco deeplink: I giocatori possono inviare inviti diretti dalla loro lista di amici in-game agli amici di Discord, facilitando l’accesso a party, lobby e sessioni senza soluzione di continuità.
Presenza ricca: Visualizza l’attività di gioco di un giocatore sul suo profilo Discord, consentendo di unirsi alle partite con un solo clic e aumentando la visibilità delle partite.
Requisiti flessibili per l’account: I giocatori possono godere di esperienze sociali unificate senza bisogno di un account Discord, anche se il collegamento dell’account è disponibile per migliorare il coinvolgimento.

Discord offre anche una beta chiusa per gli sviluppatori che cercano funzioni avanzate:

Messaggistica multipiattaforma: Comunicazione senza soluzione di continuità tra gli utenti del gioco e quelli di Discord, anche senza account Discord.
Canali collegati: La chat di gioco può essere collegata a specifici canali Discord, favorendo la persistenza delle comunità.
Chat vocale di Discord: Integrazione della chat vocale di Discord nei giochi.

Una strategia orientata agli sviluppatori

Questo rilascio segue i continui sforzi di Discord per migliorare il suo ecosistema di sviluppatori, tra cui l’introduzione delle Attività e delle Quest di Discord. Discord mira a fornire agli sviluppatori strumenti completi per costruire, lanciare e coinvolgere le loro comunità di giocatori.

Andrew Johnston, Staff Software Engineer di Theorycraft Games, ha dichiarato: “L’SDK di Discord rende facili le funzionalità sociali come la messaggistica diretta, le lobby e gli inviti alle sessioni. Gli account provvisori ci aiutano a fornire questo valore a tutti i nostri giocatori”.

Discord sostiene che i giocatori che hanno collegato i loro account hanno registrato un aumento del 65% del tempo di gioco e una frequenza di giorni attivi superiore del 25%.

“Continueremo a investire per aiutare gli sviluppatori a promuovere la scoperta e a far entrare le persone nei loro giochi, anche attraverso le Quest, il nostro innovativo formato pubblicitario”, ha dichiarato Stanislav Vishnevskiy, CTO e co-fondatore di Discord.

Il Social SDK rappresenta un’altra pietra miliare nella strategia di Discord di integrare la sua piattaforma direttamente nell’esperienza di gioco, favorendo connessioni sociali più profonde e guidando il coinvolgimento dei giocatori.

L'articolo Discord rilascia un Social SDK gratuito per gli sviluppatori di giochi alla GDC proviene da Webbare.

Google introduce “livelli di qualità” per i widget Android

admin — Wed, 05 Mar 2025 13:08:39 +0000

Google sta presentando i “livelli di qualità” dei widget di Android per aiutare gli sviluppatori a perfezionare i loro widget in esperienze raffinate e di facile utilizzo.

“I widget possono essere uno strumento potente per coinvolgere gli utenti e aumentare la visibilità della vostra applicazione. Possono anche aiutarvi a migliorare l’esperienza dell’utente, fornendogli un modo più comodo per accedere ai contenuti e alle funzioni della vostra applicazione”, ha dichiarato il team di Android.

Poiché Android abbraccia un ecosistema crescente e diversificato di tipi di dispositivi e fattori di forma, la necessità di widget visivamente coesi e altamente funzionali è diventata fondamentale. I nuovi livelli di qualità fungono da guida per gli sviluppatori, offrendo parametri di riferimento per elevare il design e l’utilità dei widget.

I widget che aderiscono a queste linee guida otterranno anche una maggiore visibilità sul Google Play Store. Un nuovo filtro di ricerca metterà in evidenza le app con widget conformi ai livelli, rendendo le implementazioni di alta qualità più accessibili agli utenti.
Esplorazione dei livelli di qualità per i widget Android

I livelli di qualità dei widget sono suddivisi in tre livelli, ognuno dei quali è stato progettato per riflettere diversi gradi di qualità dell’esperienza utente.

Livello 1: differenziato

I widget della categoria Tier 1 vanno oltre. Definiti da Google “esperienze da eroe”, questi widget non sono solo funzionali ma migliorano la schermata iniziale dell’utente. Sono dinamici, personalizzati e sfruttano appieno le capacità di tematizzazione del sistema Android.

Ad esempio, i widget di livello 1 si adattano perfettamente al ridimensionamento e utilizzano il sistema di colori dinamici di Material Design 3 per garantire la coesione estetica.

“Utilizzate il raggio d’angolo fornito dal sistema e non impostate un raggio d’angolo personalizzato”, raccomanda Google agli sviluppatori. Rispettando questi dettagli, i widget rimangono coerenti con l’armonia visiva della piattaforma.

Inoltre, Google consiglia agli sviluppatori di generare immagini di anteprima in modo dinamico, in modo che gli utenti possano visualizzare chiaramente l’aspetto di un widget e la sua adattabilità ai vari dispositivi.

Esempi di widget di livello 1 mostrano un ritaglio preciso dei contenuti, un uso ottimale dei limiti del layout, intestazioni e target tattili di dimensioni adeguate e un contrasto cromatico migliorato. L’insieme di questi elementi garantisce ai widget un aspetto nitido e una navigazione intuitiva.

Livello 2: standard di qualità

I widget di livello 2, che rappresentano la soglia di riferimento per l’usabilità, soddisfano i criteri fondamentali di progettazione e di sistema. Pur essendo funzionali e visivamente accettabili, questi widget non incorporano le caratteristiche avanzate e la pulizia del Livello 1.

Ad esempio, un semplice widget “elenco di cose da fare” che soddisfa i requisiti fondamentali di usabilità è classificato come livello 2. Deve presentare target tattili di dimensioni adeguate, contenuti chiari, scelte logiche di layout e un’esperienza d’uso affidabile. Dovrebbe presentare target tattili di dimensioni adeguate, contenuti chiari, scelte logiche di layout e un’esperienza utente affidabile.

Nonostante la loro adeguatezza, Google suggerisce agli sviluppatori di considerare i miglioramenti di livello 1 per elevare ulteriormente i loro widget. Personalizzazione, migliore interattività e migliore integrazione del sistema possono portare un widget da buono a ottimo.

Livello 3: Bassa qualità

I widget che non soddisfano le linee guida fondamentali di Android si trovano nel livello 3. Questi widget spesso presentano problemi come il ritaglio dei contenuti, la scarsa scalatura del layout, il basso contrasto dei colori, le dimensioni non corrispondenti delle intestazioni o le dimensioni insufficienti dei target tattili.

Ad esempio, i widget che ritagliano il testo o le immagini con rapporti impropri, rendendoli inaccessibili o visivamente stridenti. Allo stesso modo, i widget che sovrascrivono gli stili di sistema o trascurano le opzioni di tematizzazione di Android possono rappresentare un elemento incoerente in una schermata iniziale curata.

Affrontando queste carenze, gli sviluppatori possono migliorare in modo significativo sia la funzionalità che la percezione delle loro app.

Creare widget di alta qualità per la scopribilità

Con il lancio dei livelli di qualità dei widget, Google sta rendendo sempre più interessante per gli sviluppatori investire in widget di alta qualità. Il filtro per i widget del Play Store consente agli utenti di cercare specificamente le app con widget, mettendo in primo piano le creazioni conformi.

I widget ben costruiti hanno maggiori possibilità di attirare l’attenzione in un mercato affollato. Adottando i layout di Canonical Widget, seguendo i principi del Material Design e aderendo alle linee guida delineate nei livelli di qualità dei widget, gli sviluppatori possono garantire che i loro widget non solo siano belli da vedere, ma servano anche a uno scopo pratico per gli utenti.

Sfruttando queste nuove linee guida, gli sviluppatori di app hanno l’opportunità di migliorare non solo i loro widget ma anche la presenza della loro applicazione nell’ecosistema Android.

L'articolo Google introduce “livelli di qualità” per i widget Android proviene da Webbare.

Google svela gli strumenti di codifica Gemini AI gratuiti per gli sviluppatori

admin — Wed, 26 Feb 2025 08:22:10 +0000

Google Cloud sta distribuendo gratuitamente gli strumenti di codifica e revisione del codice Gemini AI agli sviluppatori di software di tutto il mondo.

Il gigante tecnologico ha annunciato l’anteprima pubblica di Gemini Code Assist per i privati e di Gemini Code Assist per GitHub.

Secondo Google, questo lancio mira a consentire a chiunque – dagli studenti che lavorano a progetti accademici agli sviluppatori di startup che testano nuove idee – di migliorare la produttività e la qualità del codice senza preoccuparsi di costi o limiti di utilizzo restrittivi.

Gemini Code Assist per i privati offre ampie funzionalità alimentate da una versione personalizzata del potente modello Gemini 2.0 di Google. Gemini Code Assist supporta tutti i linguaggi di programmazione di pubblico dominio ed è ottimizzato per servire gli utenti in un’ampia gamma di sfide quotidiane di codifica.

Inoltre, Gemini Code Assist garantisce una capacità praticamente illimitata, offrendo gratuitamente 180.000 completamenti di codice al mese. Questo, sottolinea Google, è un numero 90 volte superiore a quello degli assistenti al codice gratuiti concorrenti (che in genere limitano gli sviluppatori a circa 2.000 completamenti).

Questo livello di supporto può soddisfare anche i codificatori professionisti più prolifici, per non parlare degli studenti o degli sviluppatori part-time che esplorano le loro passioni.

Google afferma di sapere dove gli sviluppatori trascorrono il loro tempo: negli ambienti di sviluppo integrati (IDE). Per questo motivo, Gemini Code Assist per i privati è disponibile come estensione per Visual Studio Code, JetBrains IDE e GitHub.

Google dice di capire dove gli sviluppatori passano il loro tempo: negli ambienti di sviluppo integrati (IDE). Per questo motivo, Gemini Code Assist per i privati è disponibile come estensione per Visual Studio Code, JetBrains IDE e GitHub.

Questa disponibilità universale garantisce agli sviluppatori di:

Generare, spiegare, ottimizzare ed eseguire il debug del codice all’interno del loro ambiente di editing preferito.
Rimanere concentrati sulla codifica senza passare da una finestra all’altra o cercare aiuto su piattaforme esterne.
Utilizzare le funzionalità AI già note agli utenti aziendali di Firebase e Android Studio.

Le capacità dello strumento vanno oltre il completamento del codice; gli sviluppatori possono sfruttare i comandi in linguaggio naturale per semplificare le attività di codifica complesse. Immaginate di digitare “Costruisci un modulo HTML con campi per il nome, l’e-mail e il messaggio con un pulsante di invio” o “Scrivi uno script per inviare via e-mail le previsioni del tempo giornaliere” e di ricevere in risposta uno snippet di codice immediato e funzionale.

Gemini Code Assist offre anche una finestra contestuale da 128.000 token, che gli consente di comprendere meglio le grandi basi di codice locali e di fornire informazioni più precise. Ciò è particolarmente utile per la creazione di commenti, la verifica dei requisiti o il debug di problemi con insiemi di dati consistenti.
Soddisfare il cambiamento globale verso l’integrazione dei flussi di lavoro

L’introduzione di questi strumenti riflette i risultati della ricerca DORA di Google, orientata agli sviluppatori, che rivela che oltre il 75% degli sviluppatori si affida a strumenti di intelligenza artificiale nel proprio lavoro quotidiano.

Presso la stessa Google, più di un quarto del nuovo codice è generato dall’IA, con ingegneri umani che rivedono i risultati dell’IA prima di metterli in produzione.

Poiché si prevede che la popolazione mondiale di sviluppatori raggiungerà i 57,8 milioni entro il 2028, l’offerta di Google non potrebbe essere più tempestiva. Questi strumenti gratuiti hanno lo scopo di aiutare gli sviluppatori a far decollare i loro progetti e a competere alla pari con i team più grandi e dotati di maggiori risorse, fornendo loro l’accesso alla stessa potente assistenza dell’intelligenza artificiale.

Oltre ad aiutare gli sviluppatori a scrivere il codice, Google mira a migliorare il processo di revisione del codice, che notoriamente richiede molto tempo. Gemini Code Assist per GitHub è ora disponibile in anteprima pubblica.

Questo strumento fornisce revisioni del codice con intelligenza artificiale per i repository pubblici e privati, consentendo ai singoli sviluppatori e ai piccoli team di mantenere elevati standard di qualità del codice senza ore di revisione manuale.

Le caratteristiche di Gemini Code Assist includono:

Rilevamento di bug e incoerenze stilistiche.
Suggerimenti automatici per modifiche e correzioni al codice.
Revisioni del codice su misura basate su guide di stile personalizzate.

Gli sviluppatori possono specificare istruzioni personalizzate per Gemini creando e memorizzando un file `.gemini/styleguide.md’ all’interno del loro repository. Questa flessibilità garantisce che Gemini si integri con i flussi di lavoro e le convenzioni di codifica di ciascun team.

Grazie alla sua perfetta integrazione come app di GitHub, Gemini Code Assist per GitHub rende il processo di revisione iterativa più rapido ed efficiente, consentendo agli sviluppatori di concentrarsi sull’innovazione vera e propria piuttosto che su correzioni che richiedono tempo.

Iniziare a lavorare con Gemini Code Assist è semplice. Tutto ciò che è richiesto è un account Gmail personale, senza carte di credito, fatture o altri vincoli. Gli utenti possono installare gli strumenti gratuiti di intelligenza artificiale direttamente nell’IDE di loro scelta.

Che si tratti di creare una visualizzazione interattiva di dati in JavaScript per un progetto universitario o di snellire le richieste di pull per un’applicazione in fase di avvio, Gemini Code Assist promette di aiutare i codificatori a costruire in modo più rapido, intelligente e conveniente.

Il feedback di questa fase di anteprima pubblica sarà fondamentale per la definizione dei futuri aggiornamenti, per garantire che sia gli sviluppatori occasionali che quelli professionisti trovino la piattaforma facile da usare e adattabile alle loro esigenze.

Google ha compiuto un passo significativo nel rendere le funzionalità avanzate dell’intelligenza artificiale accessibili a tutti gli sviluppatori, indipendentemente dalla loro esperienza o dalle loro risorse finanziarie. Che siate coder esperti o principianti, una cosa è chiara: l’assistenza alla codifica con l’intelligenza artificiale non è più un lusso, ma uno strumento essenziale per lo sviluppatore moderno.

L'articolo Google svela gli strumenti di codifica Gemini AI gratuiti per gli sviluppatori proviene da Webbare.

Risolvere la crisi dei dati nell’IA generativa: affrontare la fuga dei cervelli negli LLM

admin — Wed, 19 Feb 2025 09:01:39 +0000

Gli attuali modelli generativi di intelligenza artificiale, in particolare i modelli linguistici di grandi dimensioni (LLM), si basano su dati di addestramento di dimensioni quasi inimmaginabili e su terabyte di testo provenienti dall’immensa distesa di Internet. Sebbene Internet sia stato a lungo considerato una risorsa infinita, con miliardi di utenti che contribuiscono quotidianamente con nuovi contenuti, i ricercatori stanno iniziando a esaminare l’impatto dell’incessante consumo di dati sul più ampio ecosistema dell’informazione.

Sta emergendo una sfida cruciale. Man mano che i modelli di intelligenza artificiale si ingrandiscono, il loro bisogno di dati aumenta, ma le fonti di dati pubblici sono sempre più limitate. Questo enigma solleva una domanda cruciale: gli esseri umani sono in grado di produrre abbastanza dati freschi e di alta qualità per soddisfare le crescenti richieste di questi sistemi?

La crescente scarsità di dati per l’addestramento non è solo un ostacolo tecnico: è una crisi esistenziale significativa per l’industria tecnologica e il futuro dell’IA. Senza input freschi e affidabili, anche i modelli di IA più sofisticati rischiano di ristagnare e di perdere rilevanza. Ad aggravare il problema c’è il fenomeno noto come “fuga di cervelli”, in cui i sistemi di IA forniscono risposte ma non riescono a contribuire alla creazione o alla conservazione di nuove conoscenze.

Il problema è chiaro: se gli esseri umani smettono di generare pensiero originale e di condividere le loro conoscenze, come può l’IA continuare a evolversi? E cosa succede quando il volume di dati necessari per migliorare questi sistemi supera la quantità disponibile online?

I limiti dei dati sintetici per l’IA

Una potenziale soluzione alla scarsità di dati è rappresentata dai dati sintetici, in cui l’IA genera insiemi di dati artificiali per integrare gli input creati dall’uomo. A prima vista, questo approccio offre una potenziale soluzione, grazie alla capacità di produrre rapidamente grandi volumi di dati. Tuttavia, i dati sintetici spesso non hanno la profondità, le sfumature e la ricchezza contestuale delle informazioni generate dall’uomo. Riproducono modelli, ma faticano a catturare l’imprevedibilità e la diversità degli scenari del mondo reale. Di conseguenza, i dati sintetici possono risultare insufficienti nelle applicazioni che richiedono un’elevata accuratezza o comprensione del contesto.

Inoltre, i dati sintetici comportano rischi significativi. Possono perpetuare e amplificare i pregiudizi o gli errori presenti nei set di dati originali che imitano, creando problemi a cascata nelle applicazioni AI a valle. Peggio ancora, possono introdurre imprecisioni del tutto nuove, o “allucinazioni”, creando modelli o conclusioni privi di base nella realtà. Questi difetti minano la fiducia, soprattutto in settori come la sanità o la finanza, dove l’affidabilità e l’accuratezza sono fondamentali. Sebbene i dati sintetici possano svolgere un ruolo di supporto in scenari specifici, non possono sostituire la conoscenza umana autentica e di alta qualità.

Introdurre la conoscenza come servizio

Una soluzione più sostenibile consiste nel ripensare il modo in cui creiamo e gestiamo i dati. Ecco che entra in scena il Knowledge-as-a-Service (KaaS), un modello che pone l’accento sulla creazione continua di conoscenza di alta qualità e specifica del dominio da parte dell’uomo. Questo approccio si basa su comunità di collaboratori che creano, convalidano e condividono nuove informazioni in un ecosistema dinamico, etico e collaborativo. KaaS si ispira ai principi dell’open-source, ma si concentra sulla garanzia che i set di dati siano rilevanti, diversificati e sostenibili. A differenza dei depositi statici di informazioni, un ecosistema KaaS si evolve nel tempo, con i collaboratori che aggiornano e perfezionano attivamente la base di conoscenza.

KaaS offre diversi vantaggi:

Dati ricchi e contestuali: Grazie all’approvvigionamento di informazioni da collaboratori reali, KaaS garantisce che i sistemi di IA siano addestrati su dati che riflettono la realtà attuale e non ipotesi obsolete.
Sviluppo etico dell’IA: Il coinvolgimento di esperti umani come contributori dei dati promuove l’equità e la trasparenza, attenuando i rischi associati ai dati sintetici.
Sostenibilità: A differenza dei dataset limitati, i pool di conoscenza guidati dalla comunità crescono organicamente, creando un sistema autosufficiente, e i LLM migliorati offrono un’esperienza utente elevata.

KaaS sottolinea anche il valore insostituibile delle competenze umane nello sviluppo dell’IA. Sebbene gli algoritmi eccellano nell’elaborazione delle informazioni, non possono replicare la creatività umana, l’intuizione o la comprensione del contesto. Inserendo i contributi umani nei processi di formazione dell’IA, KaaS garantisce che i modelli rimangano adattabili, ricchi di sfumature ed efficaci, e aiuta a far emergere le conoscenze rilevanti per gli sviluppatori negli strumenti che già conoscono e utilizzano quotidianamente.

Questo approccio favorisce la collaborazione: i collaboratori vedono le loro conoscenze plasmare i sistemi di IA in tempo reale. Questo impegno crea un circolo virtuoso in cui sia l’IA che la comunità migliorano insieme.

Per adottare un modello KaaS, le organizzazioni devono:

Creare piattaforme inclusive: Sviluppare strumenti che incoraggino la partecipazione, come forum collaborativi o reti guidate dalla comunità.
Promuovere la fiducia e gli incentivi: Riconoscere e premiare i collaboratori per creare una cultura di condivisione della conoscenza.
Integrare i cicli di feedback: Stabilire sistemi in cui le intuizioni dell’IA informano il processo decisionale umano e le competenze umane contribuiscono alla base di conoscenza che a sua volta migliora e perfeziona le prestazioni dell’IA.

Affrontare la fuga dei cervelli LLM richiede un’azione collettiva. Imprese, tecnologi e comunità devono collaborare per reimmaginare il modo in cui la conoscenza viene creata, condivisa e utilizzata. Settori come la sanità e l’istruzione, dove l’IA sta già facendo passi da gigante, possono fare da apripista adottando modelli KaaS per garantire che i loro sistemi siano costruiti su dati di alta qualità e di provenienza etica.

La sfida della fuga dei cervelli LLM rappresenta anche un’opportunità unica per innovare. Adottando i modelli KaaS, le organizzazioni possono affrontare la scarsità di dati e allo stesso tempo gettare le basi per un futuro di IA etico, collaborativo ed efficace.

In definitiva, il successo dell’IA non dipende solo dalla sofisticazione dei suoi algoritmi, ma anche dalla ricchezza e dall’affidabilità dei dati che li alimentano. La conoscenza come servizio offre un percorso sostenibile. Garantisce che i sistemi generativi si evolvano di pari passo con il mondo dinamico e diversificato che servono e che gli esseri umani dietro la conoscenza ricevano il riconoscimento che meritano.

Creare piattaforme inclusive: Sviluppare strumenti che incoraggino la partecipazione, come forum collaborativi o reti guidate dalla comunità.
Promuovere la fiducia e gli incentivi: Riconoscere e premiare i collaboratori per costruire una fiorente comunità di conoscenza.

L'articolo Risolvere la crisi dei dati nell’IA generativa: affrontare la fuga dei cervelli negli LLM proviene da Webbare.

Ricercatori del MIT sviluppano “Oreo” per proteggersi dagli attacchi hardware

admin — Wed, 12 Feb 2025 13:28:16 +0000

I ricercatori del MIT Computer Science and Artificial Intelligence Laboratory (CSAIL) hanno sviluppato un nuovo metodo innovativo per proteggere i computer dagli attacchi hardware.

Nella memoria fisica di un computer, le istruzioni del programma sono memorizzate a indirizzi specifici. Nonostante gli sforzi per oscurare questi indirizzi con tecniche come l’Address Space Layout Randomisation (ASLR), gli hacker più astuti hanno trovato il modo di sfruttare le falle dell’hardware per scovarli.

Soprannominata “Oreo”, dal nome del famoso biscotto a tre strati, la soluzione dei ricercatori promette di rafforzare l’efficacia dell’ASLR e di proteggere dalla crescente minaccia di attacchi collaterali alla microarchitettura, facendo sparire tali tracce.

L’ASLR è una misura di sicurezza standard presente nei moderni sistemi operativi, tra cui Linux e Windows. Il suo ruolo è quello di confondere le istruzioni del programma, rendendo più difficile per gli aggressori prevedere la loro esatta posizione. Tuttavia, gli hacker hanno sviluppato tecniche astute per aggirare l’ASLR.

Invece di sfruttare direttamente le vulnerabilità del software, si affidano ad attacchi collaterali alla microarchitettura. Questi attacchi prendono di mira l’hardware per monitorare le aree di memoria a cui si accede più frequentemente, utilizzando queste informazioni per mettere insieme le posizioni di dati sensibili o frammenti di codice eseguibile, noti come “gadget di codice”.

Una volta identificati questi “gadget”, gli hacker possono sferrare i cosiddetti attacchi di riutilizzo del codice, consentendo il furto di password o l’esecuzione di modifiche amministrative non autorizzate. L’efficacia dell’ASLR, uno scudo un tempo affidabile, ha vacillato di fronte a queste incursioni sofisticate.

“L’ASLR è stato utilizzato in sistemi operativi come Windows e Linux, ma negli ultimi dieci anni i suoi difetti di sicurezza lo hanno reso quasi inutilizzabile”, spiega Mengjia Yan, professore associato al MIT e ricercatore principale del CSAIL.

“Il nostro obiettivo è far rivivere questo meccanismo nei sistemi moderni per difendere gli attacchi alle microarchitetture”.

Per migliorare l’ASLR, il team del CSAIL ha progettato il sistema Oreo. Come dice il nome, questo metodo introduce un processo a tre livelli per nascondere le informazioni vitali agli hacker.

Il cuore di Oreo è uno “spazio degli indirizzi mascherato” che aggiunge un livello intermedio tra lo spazio degli indirizzi virtuali (usato per fare riferimento alle istruzioni del programma) e lo spazio degli indirizzi fisici (dove le istruzioni sono effettivamente memorizzate). Questo strato intermedio essenzialmente “cancella” qualsiasi traccia delle posizioni randomizzate dei programmi prima che le istruzioni vengano eseguite dall’hardware.

Shixin Song, autore principale dell’articolo su Oreo e dottorando in ingegneria elettrica e informatica presso il CSAIL, paragona il processo al biscotto stesso.

“L’idea di strutturarlo in tre strati ci è venuta dai biscotti Oreo”, racconta. “Pensate al ripieno bianco al centro di quel dolcetto: la nostra versione è uno strato che essenzialmente cancella le tracce delle posizioni dei gadget prima che finiscano nelle mani sbagliate”.

Questa strategia aggiunge un ulteriore passaggio che rimappa le istruzioni del programma da indirizzi virtuali randomizzati a posizioni fisse, offuscando il layout originale della memoria. Anche se un hacker utilizza tecniche lato hardware per scoprire gli indirizzi fisici, Oreo garantisce che gli indirizzi virtuali criptati rimangano invisibili.

Il team del CSAIL ha testato Oreo simulando attacchi hardware su Linux utilizzando gem5, una piattaforma spesso impiegata per studiare l’architettura dei computer. I risultati hanno dimostrato che Oreo è in grado di schermare con successo gli attacchi laterali alla microarchitettura senza impattare sulle prestazioni del software che protegge.

“Il nostro metodo introduce modifiche marginali all’hardware, richiedendo solo alcune unità di memoria aggiuntive per memorizzare alcuni metadati”, osserva Song. “Fortunatamente, ha anche un impatto minimo sulle prestazioni del software”.

Questo piccolo ingombro rende Oreo un aggiornamento leggero ma robusto per i sistemi di memoria basati su tabelle di pagine, spesso presenti nelle piattaforme dotate di processori Intel, AMD e Arm.

Il team CSAIL ritiene che Oreo abbia un potenziale significativo al di là di Linux.

“Pensiamo che Oreo possa essere un’utile piattaforma di co-progettazione software-hardware per un tipo più ampio di applicazioni”, afferma Yan. “Oltre a puntare sull’ASLR, stiamo lavorando a nuovi metodi che possano aiutare a salvaguardare le librerie crittografiche critiche ampiamente utilizzate per proteggere le informazioni nelle comunicazioni di rete e nello storage cloud”.

Sebbene Oreo offra una spinta significativa all’ASLR, non si tratta di una pallottola d’argento. Il team riconosce che deve lavorare insieme ad altre difese, in particolare contro gli attacchi di esecuzione speculativa.

Gli attacchi di esecuzione speculativa sono stati resi celebri dalle vulnerabilità Meltdown e Spectre scoperte nel 2018. Tali attacchi sfruttano una funzione del processore progettata per prevedere le attività successive a vantaggio dell’efficienza, ma così facendo lasciano inavvertitamente esposti dati sensibili.

Per difendersi dagli attacchi di esecuzione speculativa, Oreo deve essere abbinato ad altri meccanismi di sicurezza (come le mitigazioni Spectre).

Questa limitazione si estende anche a sistemi più grandi e complessi. Tuttavia, per applicazioni mirate come la salvaguardia di strumenti di crittografia sensibili, il potenziale di Oreo potrebbe essere trasformativo.

Il team CSAIL presenterà i suoi risultati alla fine del mese al Network and Distributed System Security Symposium. Il loro lavoro è stato finanziato da Amazon, dall’US Air Force Office of Scientific Research e da ACE, un centro della Semiconductor Research Corporation sponsorizzato dalla DARPA.

In prospettiva, il team spera che il framework Oreo ispiri un ulteriore sviluppo di meccanismi di co-progettazione software-hardware per combattere le minacce informatiche emergenti. Per ora, questa innovazione a tre livelli è una dolce aggiunta al kit di strumenti per la sicurezza informatica.

L'articolo Ricercatori del MIT sviluppano “Oreo” per proteggersi dagli attacchi hardware proviene da Webbare.