La diffusione degli strumenti di intelligenza artificiale sta accelerando un fenomeno già noto ma oggi molto più difficile da contenere: il code sprawl. Dipendenti di ogni funzione aziendale creano automazioni, applicazioni e agenti senza passare dai tradizionali processi di sicurezza IT, aprendo nuove criticità per i responsabili della cybersecurity.
Code sprawl: crescita incontrollata all’ombra delle regole IT
Il cosiddetto code sprawl non è nuovo, ma l’arrivo dell’AI generativa ne ha amplificato la portata. Strumenti integrati nei software aziendali o utilizzati in autonomia permettono a chiunque di costruire soluzioni digitali in pochi minuti. Questo avviene spesso fuori dal perimetro di controllo IT, creando un ecosistema frammentato.
Secondo dati citati da RedAccess, l’analisi di piattaforme di “vibe coding” ha individuato circa 380.000 asset pubblicamente accessibili, tra applicazioni e infrastrutture create senza revisione di sicurezza. Di questi, migliaia contenevano informazioni sensibili. Un segnale chiaro di quanto la crescita del codice non supervisionato stia diventando strutturale.
CISO e il governo del codice: una sfida in evoluzione
Per i Chief Information Security Officer, la difficoltà principale è la perdita di visibilità. Le soluzioni generate autonomamente si moltiplicano tra reparti e strumenti, rendendo quasi impossibile tracciare tutto ciò che viene creato.
Durante un evento organizzato da Tines, i responsabili della sicurezza di Datadog, Jamf e ASOS hanno evidenziato come il problema non sia solo tecnico ma culturale. Matt Muller di Datadog ha sottolineato che i dipendenti tendono a trovare comunque soluzioni alternative se ritengono di poter lavorare meglio, anche aggirando le policy. La governance, quindi, non può più basarsi solo su regole statiche.
AI e shadow tooling: rischi e opportunità per le aziende
L’adozione spontanea di strumenti AI alimenta quello che viene definito shadow tooling: applicazioni e automazioni non ufficiali utilizzate al di fuori delle policy aziendali. Questo fenomeno è spesso guidato da intenzioni positive, come migliorare la produttività o automatizzare attività ripetitive.
Tuttavia, la perdita di controllo su dati e processi aumenta i rischi. Le aziende si trovano così a bilanciare innovazione e sicurezza, in un contesto in cui vietare gli strumenti non elimina il problema, ma lo sposta fuori dal campo visivo dei team IT.
Gestire il code sprawl: strumenti e strategie emergenti
Le organizzazioni stanno iniziando a reagire con approcci più strutturati. Alcune introducono marketplace interni di strumenti AI approvati, altre costruiscono sistemi di monitoraggio continuo delle automazioni create dai dipendenti.
In Datadog, ad esempio, la sicurezza si sta trasformando in un hub di abilitazione piuttosto che un semplice controllore. L’obiettivo è rendere il percorso “governato” più semplice e attrattivo rispetto a quello non supervisionato, così da ridurre la proliferazione di soluzioni parallele.
Code sprawl e il ruolo delle policy di governance
Le policy tradizionali non sono più sufficienti. Indu Sajeev, ex CISO di ASOS, ha evidenziato come la governance debba essere “codificata e continua”, integrata nei sistemi e non affidata a documenti statici.
In questo contesto, molte aziende stanno sviluppando registri delle use case AI, trattando gli agenti come asset infrastrutturali. Questo permette di collegare ogni automazione a un responsabile e a un obiettivo preciso, migliorando la tracciabilità e la gestione del rischio.
Operare in sicurezza: le priorità dopo la diffusione del code sprawl
Il primo passo resta la classificazione corretta dei dati. Senza una mappatura chiara delle informazioni sensibili, ogni controllo successivo rischia di essere inefficace. Da qui si costruiscono accessi, audit e sistemi di governance.
I CISO insistono anche sulla necessità di controlli più granulari per gli strumenti AI e le autorizzazioni. Oggi i sistemi sono spesso troppo rigidi o troppo generici. L’obiettivo è arrivare a un modello in cui sicurezza e produttività possano convivere senza costringere gli utenti a cercare alternative non autorizzate.
Fonte: Bleeping Computer
