Cosa non ti dicono sul vibe coding: • Moltbook ha esposto 1,5 milioni di token di autenticazione. Il proprietario non aveva scritto una sola riga di codice. • L'app Tea ha divulgato 72.000 ID governativi. Il database era semplicemente aperto, non era necessaria alcuna hack sofisticata. • Un ricercatore ha preso il controllo del computer di un giornalista attraverso il suo stesso gioco vibe-coded, senza un solo clic. Il codice funzionava bene in tutti e tre i casi, i test sono passati, le recensioni sembravano pulite e nulla ha sollevato un allerta. Questo è il problema di cui nessuno sta parlando. I team stanno spedendo più velocemente che mai. L'AI scrive il codice. CI cattura i fallimenti di build. I test catturano le regressioni. L'osservabilità cattura le interruzioni. Ma nessuno sta ponendo l'unica domanda che conta davvero: Cosa può fare un attaccante con questo, in questo momento? Perché il collo di bottiglia non è più scrivere codice. È capire cosa espone effettivamente quel codice una volta che è attivo. Le revisioni PR mancano i casi limite di autenticazione. I test unitari non sondano il controllo degli accessi rotto. Gli ambienti di staging non simulano comportamenti avversari. E i difetti nella logica aziendale sembrano completamente a posto fino a quando qualcuno decide di romperli di proposito. Strix è uno strumento open-source che colma questa lacuna. Esamina la tua app in esecuzione come farebbe un attaccante: - Scansiona l'app e mappa ogni percorso e flusso esposto - Sonda i percorsi di abuso dinamicamente, non solo al momento della build - Restituisce risultati con prove di concetti e suggerimenti per le correzioni Strix è stato testato contro 200 aziende reali e repository open-source, dove ha trovato oltre 600 vulnerabilità verificate, comprese le CVE assegnate. ...