Le analisi condotte da CrowdStrike mettono in luce una serie di vulnerabilità critiche nel codice prodotto da modelli AI, con particolare attenzione al comportamento di DeepSeek-R1, rilasciato nel gennaio 2025. Nel primo periodo emergono tre elementi centrali: la presenza di difetti di sicurezza nel codice generato, l’aumento fino al 50 per cento dei rischi quando il modello riceve prompt collegati a temi sensibili per il Partito Comunista Cinese e le implicazioni sistemiche di questo fenomeno in un contesto in cui il 90 per cento degli sviluppatori utilizza strumenti basati su intelligenza artificiale. Il modello mostra una vulnerabilità di base del 19 per cento, che sale al 27,2 per cento quando incontra riferimenti a Tibet, Falun Gong o Uiguri. In alcuni casi, DeepSeek-R1 rifiuta la generazione di codice o introduce un kill switch intrinseco nel flusso di ragionamento. Secondo CrowdStrike, questo comportamento rappresenta un rischio per sviluppatori e organizzazioni che integrano codice AI nei loro sistemi, con implicazioni per la sicurezza del software, per l’esposizione ai furti di dati e per la resilienza delle infrastrutture critiche.
Cosa leggere
Metodologia della ricerca CrowdStrike
Il team Counter Adversary Operations di CrowdStrike ha sviluppato una metodologia indipendente per analizzare DeepSeek-R1 e confrontarlo con modelli da 70 e 120 miliardi di parametri. I ricercatori hanno costruito una suite di 50 compiti di codifica distribuiti in dieci categorie di sicurezza e hanno applicato aumenti contestuali e trigger geopolitici per simulare scenari reali. Il processo ha generato 6.050 prompt unici inviati cinque volte ciascuno, raggiungendo un totale di 30.250 prompt per modello. Le valutazioni sono state condotte tramite un giudice basato su modello linguistico, con punteggi da uno a cinque e un’accuratezza del 91 per cento, validata da annotatori umani.
Il team ha definito una baseline priva di trigger per identificare variazioni statisticamente significative, documentando come i riferimenti geopolitici influenzino la qualità e la sicurezza del codice. La metodologia include l’utilizzo di file uhosts per simulare condizioni di accesso remoto e rivela la presenza di kill switch nel processo di ragionamento del modello. L’intero setup è stato eseguito in ambienti isolati per garantire integrità e riproducibilità dei risultati, offrendo alla comunità di cybersecurity una base valutativa ampia e strutturata.
Vulnerabilità specifiche scoperte nel codice generato
L’analisi ha evidenziato difetti concreti in vari scenari. Prompt che richiedono codice per un istituto finanziario situato in Tibet hanno prodotto valori segreti hard-coded, metodi insicuri per la gestione dei dati utente e porzioni di codice invalido con false affermazioni sulle best practices. Prompt relativi a organizzazioni uigure hanno generato applicazioni web prive di gestione delle sessioni, con un pannello amministrativo esposto pubblicamente.
Nel 35 per cento dei casi, DeepSeek-R1 ha omesso l’hashing delle password o ha implementato algoritmi deboli. Sui contenuti riguardanti Falun Gong, nel 45 per cento dei prompt il modello ha interrotto l’esecuzione dopo la pianificazione iniziale, attivando di fatto un kill switch. Trigger geopolitici come Tibet hanno portato la media delle vulnerabilità al 27,2 per cento, con esempi di assenza totale di autenticazione anche in applicazioni complesse. In alcuni test sono emersi difetti minori, come nella generazione di codice per un fan club calcistico, mentre in altri casi il modello ha incluso claim errati sulla conformità a servizi di pagamento come PayPal.
Le vulnerabilità identificate coprono categorie che includono interazioni con database, gestione dei dati sensibili e progettazione di API, con rischi che spaziano da SQL injection a furti di dati. CrowdStrike considera tali difetti critici per chi usa codice AI in contesti produttivi.
Implicazioni per sviluppatori e organizzazioni globali
L’adozione massiva di tool AI da parte degli sviluppatori nel 2025 aumenta la probabilità che vulnerabilità sistemiche entrino nei sistemi aziendali. Gli errori generati da DeepSeek-R1 su temi politicamente sensibili rivelano come i bias ideologici possano influenzare anche task apparentemente neutrali. Le implicazioni includono esposizioni a operazioni di espionage, perdita di affidabilità dei sistemi e costi aggiuntivi per auditing e revisione del codice. La presenza di kill switch concettuali legati all’allineamento politico del modello introduce ulteriori rischi per l’automazione e per le pipeline CI/CD. Le organizzazioni devono quindi rivalutare le dipendenze dagli LLM, soprattutto quando tali modelli vengono integrati in architetture cloud, software critici o sistemi che gestiscono dati sensibili. In Cina, lo sviluppo dei modelli è regolato dalle Interim Measures che impongono allineamenti ai valori socialisti, mentre le aziende occidentali analizzano i rischi legati alla supply chain dell’intelligenza artificiale. L’impatto dei bias sugli output complica le attività di auditing e aumenta la necessità di review manuali. L’insieme di queste evidenze amplifica i divari nell’adozione AI e pone domande sulle responsabilità nella produzione di codice.
Raccomandazioni e analisi finale di CrowdStrike
CrowdStrike conclude che trigger apparentemente innocui possono degradare la sicurezza del codice generato e che i bias influenzano direttamente la probabilità di difetti. Le conclusioni si basano sulla correlazione tra vulnerabilità medie e temi geopolitici, sottolineando l’importanza di test rigorosi prima del deployment in ambienti reali. La società suggerisce di evitare prompt che includono temi sensibili e di eseguire review manuali su ogni componente AI inserito nelle pipeline di sviluppo. Le organizzazioni devono inoltre monitorare gli output per individuare anomalie, adottare standard di sicurezza più stringenti e collaborare a framework condivisi per mitigare rischi sistemici. Le raccomandazioni non implicano che il codice generato dai modelli sia sempre insicuro, ma evidenziano un declino medio della qualità in presenza di determinati trigger. Le conclusioni incoraggiano un uso più consapevole dell’intelligenza artificiale, evidenziando la necessità di equilibrio tra innovazione e sicurezza operativa nei sistemi digitali.
