Il panorama della sicurezza informatica è stato scosso da due incidenti di portata molto diversa ma ugualmente preoccupanti. Da un lato, una vulnerabilità critica in un pacchetto open source ampiamente utilizzato mette a rischio milioni di agenti AI. Dall'altro, un portale governativo britannico ha esposto dati sensibili di migliaia di richiedenti visti senza intervenire per correggere la falla. Analizziamo i dettagli di queste due storie che stanno segnando il mese di maggio 2026 e le lezioni che ne possiamo trarre per il futuro della cybersecurity.
La vulnerabilità BadHost mette a rischio l'ecosistema AI
La scoperta della falla denominata BadHost nel pacchetto Python Starlette ha provocato un'ondata di preoccupazione tra gli sviluppatori di applicazioni basate su intelligenza artificiale. Starlette, utilizzato per costruire API asincrone moderne, viene scaricato circa 325 milioni di volte a settimana, rendendolo uno dei framework più diffusi. La vulnerabilità, classificata con un punteggio CVSS critico, consente a un attaccante di inviare richieste HTTP appositamente formulate per eseguire codice remoto arbitrario sul server. Questo significa che un agente AI che utilizza Starlette per comunicare con altri servizi potrebbe essere completamente compromesso, permettendo a un malintenzionato di rubare dati, manipolare decisioni o persino prendere il controllo del sistema. I ricercatori di sicurezza hanno scoperto che il bug era presente nelle versioni da 0.35 a 0.39.2, e la patch è stata rilasciata nella versione 0.39.3. Tuttavia, il tempo di adozione rimane critico perché molti sistemi AI, inclusi chatbot, assistenti virtuali e piattaforme di automazione, si basano su Starlette senza aggiornamenti automatici. Per comprendere meglio le dinamiche della sicurezza nell'AI, si può leggere l'articolo su Europa che stringe la morsa sulla tecnologia USA, che analizza le regolamentazioni in arrivo.
Il data leak del portale visti UK svela una gestione fallimentare
Parallelamente, una violazione dei dati altrettanto grave ha colpito il portale per le richieste di visto del Regno Unito. Secondo un'inchiesta esclusiva di TechCrunch, il sito web gestito da un fornitore terzo ha esposto pubblicamente migliaia di passaporti e selfie dei richiedenti visti. La falla è rimasta attiva per settimane, e quando i ricercatori l'hanno segnalata, l'azienda ha risposto non con una correzione ma con un'azione legale, inviando avvocati per intimidire le fonti. Questo comportamento non solo viola la fiducia degli utenti ma anche il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo, che impone la notifica tempestiva delle violazioni. I richiedenti visti, molti dei quali provenienti da paesi extraeuropei, si trovano ora esposti a furti d'identità e frodi. La mancanza di trasparenza da parte del governo britannico solleva dubbi sulla supervisione dei fornitori terzi. Un esempio virtuoso di trasparenza arriva da Apple, che ha recentemente introdotto un avviso per i contatti bloccati nelle beta di iOS 26.6, come riportato in questo articolo. Anche le aziende tecnologiche più grandi stanno migliorando i propri meccanismi di sicurezza.
Lezioni per il futuro della sicurezza
Entrambi gli incidenti dimostrano che la sicurezza non è un optional ma un requisito fondamentale, sia per le infrastrutture AI open source sia per i servizi governativi. La vulnerabilità BadHost evidenzia la fragilità degli agenti AI, che spesso ereditano vulnerabilità dalle librerie sottostanti senza che gli sviluppatori ne siano consapevoli. Il leak del portale visti mostra le conseguenze di una governance inadeguata e di una risposta aziendale aggressiva. La comunità tech deve imparare a reagire con rapidità e responsabilità, adottando pratiche come l'analisi delle vulnerabilità nei componenti open source e la trasparenza nella gestione degli incidenti. Per maggiori informazioni sulla vulnerabilità, si può leggere l'articolo originale su Ars Technica. Sul data leak, la fonte è TechCrunch. Il futuro della sicurezza digitale dipende dalla capacità di apprendere da questi episodi e di costruire sistemi più resilienti.
Sponsored Protocol
