▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Il nuovo report di JFrog avverte: la governance dell'IA fallisce e gli attacchi alla supply chain software raggiungono livelli record

JFrog Ltd. (Nasdaq: FROG), The Liquid Software Company e creatrice della piattaforma per la supply chain software JFrog, ovvero il sistema di riferimento per artifact software, binari e asset di IA af...

Business Wire

I costi nascosti dell'IA su larga scala: il report del 2026 sulla supply chain software sicura di JFrog mostra come gli attori malevoli stiano sfruttando i workflow degli sviluppatori e stiano generando 177.000 nuovi pacchetti e 495 modelli di IA malevoli, oltre a un aumento del 451% di pacchetti npm compromessi

SUNNYVALE, California: JFrog Ltd. (Nasdaq: FROG), The Liquid Software Company e creatrice della piattaforma per la supply chain software JFrog, ovvero il sistema di riferimento per artifact software, binari e asset di IA affidabili, ha annunciato oggi i risultati del suo report del 2026 Software Supply Chain Security State of the Union. Il report di quest'anno rivela un'accelerazione senza precedenti nel rischio aziendale in ambito software, poiché con i loro attacchi gli attori malevoli prendono di mira non solo i tradizionali registry di pacchetti, bensì anche i registry di modelli di IA e gli strumenti di sviluppo, creando un punto cieco negli attuali framework di governance del software.

"Ogni azienda sta aggiungendo l'IA alla propria supply chain software, il che sta aumentando la superficie di attacco per gli attori malevoli. Il nostro report mostra che gli aggressori non si limitano più a violare le difese tradizionali. Di fatto stanno sfruttando attivamente i modelli, i registry e gli strumenti basati su agenti affidabili che sono alla base dello sviluppo basato sull'IA di oggi. L'era del 'fare una scansione e sperare che vada tutto bene' è finita", ha affermato Shlomi Ben Haim, CEO e cofondatore di JFrog. “Le organizzazioni hanno bisogno di un'unica fonte di verità che governi ogni binario, ogni modello e ogni competenza degli agenti IA dal momento in cui entrano nella pipeline al momento in cui vengono distribuiti in produzione. JFrog è stata creata per offrire proprio questo".

Mentre l'IA passa dalla fase di sperimentazione a quella di forza strutturale che sta rimodellando la supply chain software, le organizzazioni stanno riscontrando un divario crescente tra la fiducia dichiarata in termini di sicurezza e i rischi che si accumulano nella loro infrastruttura. Basandosi sui dati di 18,2 miliardi di artifact gestiti sulla piattaforma JFrog (un aumento del 136% rispetto all'anno precedente), sulla ricerca originale sulle vulnerabilità condotta dal team JFrog Security Research e su un sondaggio globale condotto con 1.508 professionisti della sicurezza e del DevOps1, questo report espone quella che definisce "l'illusione di padronanza", ovvero la crescente disparità tra la sicurezza percepita e la realtà dei rischi crescenti per la supply chain.

I risultati principali includono quanto segue.

  • I pacchetti malevoli raggiungono un massimo storico: i pacchetti npm malevoli sono aumentati del 451% rispetto all'anno precedente, con 177.000 nuovi pacchetti malevoli rilevati nei registry nell'ultimo anno. Gli aggressori stanno sfruttando la fiducia su larga scala: la campagna "Qix" ha utilizzato solo 25 pacchetti per compromettere oltre 2,5 milioni di download.
  • Le competenze degli agenti IA emergono come una nuova superficie di attacco: per la prima volta, JFrog ha tracciato le competenze dannose degli agenti di IA, identificandone 969 che trasportano payload ad alto impatto insieme a 495 modelli di IA malevoli su Hugging Face e 56 estensioni malevole su OpenVSX. Gli aggressori non prendono più di mira solo il codice; prendono di mira gli strumenti autonomi che lo scrivono, lo revisionano e ne fanno il deployment.
  • Oltre il rumore, le vulnerabilità sono in aumento e i punteggi di gravità sono fuorvianti: nel 2025 sono state divulgate oltre 48.000 nuove CVE, un aumento del 20% rispetto all'anno precedente parzialmente dovuto a codice generato dall'IA che reintroduce debolezze vecchie di decenni, come l'Injection (CWE-74), cresciuta del 3.110%. Tuttavia, il team di ricerca sulla sicurezza di JFrog ha rilevato che il 66% delle CVE analizzate aveva un'applicabilità minima nel mondo reale: il triage basato sul volume è rumore, mentre il contesto e l'applicabilità diventano i segnali fondamentali.
  • Le minacce che crescono più rapidamente sono quelle per cui c'è meno difesa: solo il 40% delle organizzazioni ha adottato il rilevamento di pacchetti malevoli e il rilevamento di segreti è attivo solo nel 28% dei casi. Le categorie che registrano la crescita più rapida nel volume delle minacce rimangono le meno coperte dagli strumenti esistenti.
  • I team di sicurezza sostengono il costo umano dell'IA: il 45% degli intervistati afferma che la revisione e il rafforzamento del codice generato dall'IA rappresentano ora un notevole dispendio di tempo, a dimostrazione del fatto che l'IA non ha eliminato il lavoro, ma ne ha semplicemente spostato l'onere, mentre gli attori malevoli sfruttano gli ambienti di sviluppo upstream e gli strumenti basati su agenti.
  • Il divario nella governance dell'IA: il 97% delle organizzazioni dichiara di disporre di una governance certificata dei modelli, eppure il 53% ospita autonomamente modelli provenienti da fonti in cui sono stati rilevati payload malevoli e il 18% non ha alcuna governance sui propri ambienti di sviluppo integrati (IDE) o sui server Model Context Protocol (MCP) presenti nei workflow degli sviluppatori. Di conseguenza, il divario tra la fiducia dichiarata dai dirigenti e il controllo effettivo si sta ampliando man mano che lo sviluppo dell'IA accelera.

"Il settore sta operando con un falso senso di sicurezza. Le vulnerabilità sono in aumento, ma la vera minaccia risiede negli attori malevoli che prendono il controllo delle nostre pipeline CI/CD e degli strumenti di sviluppo prima ancora che il codice esista", ha affermato Shachar Menashe, VP di JFrog Security Research. "Passare a una governance automatizzata e nativa della piattaforma non è più opzionale: è l'unico modo per proteggere i sistemi intelligenti che creano, approvano e distribuiscono il software di oggi".

"L'IA non ha cambiato solo il modo in cui viene scritto il software, ha anche aumentato la velocità e la scala con cui vengono sfruttate le vulnerabilità zero-day e vengono sviluppati e distribuiti gli attacchi malevoli alla supply chain software", ha affermato Yoav Landman, CTO e cofondatore di JFrog. "Per rimanere al passo, le organizzazioni hanno bisogno di una governance automatizzata in grado di curare ogni asset software che entra nell'organizzazione, sia che venga introdotto da agenti sia dagli sviluppatori, e di monitorare continuamente ogni release che contiene tali asset. La competizione non riguarda più chi scopre per primo una vulnerabilità zero-day, poiché questa informazione viene resa pubblica nel giro di pochi minuti. Riguarda piuttosto chi è in grado di rafforzare la propria supply chain software su larga scala per mantenere sicura la propria organizzazione".

Per esplorare i risultati completi del report di quest'anno e scoprire come la vostra organizzazione può colmare il divario nella governance dell'IA, scaricate il report di JFrog del 2026 Software Supply Chain Security State of the Union. Potete anche consultare il nostro blog o registrarvi per unirvi agli esperti di JFrog Security e agli sviluppatori per un webinar in programma – "The Illusion of Mastery: Bridging the Al Governance Gap in 2026" che illustrerà le sfide, le minacce e le azioni necessarie per proteggere la vostra supply chain software nell'era dell'IA.

Vi è piaciuta questa storia? Condividetela su X (ex Twitter): i pacchetti #npm malevoli sono aumentati del 451%; le competenze degli agenti IA sono ora una superficie di attacco e il 97% delle organizzazioni dichiara di adottare la governance dell'IA, mentre il 53% preleva ancora modelli da registry pubblici in cui sono stati trovati payload malevoli. Il divario nella governance dell'IA è reale. Leggete il report del 2026 di @JFrog sulla supply chain software sicura: https://bit.ly/3PRNzJB

#DevSecOps #SoftwareSupplyChain #Cybersecurity #AI #governance #DevGovOps

Informazioni su JFrog

JFrog Ltd. (Nasdaq: FROG), creatrice della piattaforma unificata per DevOps, DevSecOps, DevGovOps e MLOps, ha la missione di creare un mondo in cui la distribuzione di software affidabile avvenga senza ostacoli, dallo sviluppo fino alla produzione. Guidata dalla visione di "Liquid Software", la piattaforma JFrog è il sistema di riferimento della supply chain software progettato per supportare le organizzazioni nella creazione, gestione, governance e distribuzione di software sicuro con velocità e su larga scala. Le funzionalità di sicurezza olistiche aiutano a identificare, proteggere e porre rimedio a minacce e vulnerabilità. La piattaforma JFrog universale, ibrida e multi-cloud è disponibile sia come servizio SaaS attraverso i principali provider cloud sia in modalità self-hosted. Milioni di utenti e circa 6.600 organizzazioni in tutto il mondo, tra cui la maggior parte delle aziende Fortune 100, si affidano alle soluzioni JFrog per affrontare in sicurezza la trasformazione digitale nell'era dell'IA. Per saperne di più, visitate https://jfrog.com o seguiteci su X @JFrog.

 

1 JFrog ha incaricato Atomik Research di 4Media Group di condurre un sondaggio online internazionale con 1.508 professionisti IT appartenenti a settori selezionati negli Stati Uniti (n=508), nel Regno Unito (n=125), in India (n=167), in Germania (n=120), in Francia (n=125), in Australia (n=165), a Singapore (n=174) e in Spagna (n=124) tra gennaio e febbraio del 2026. Gli intervistati erano dipendenti a tempo pieno nei reparti IT, sistemi informativi o tecnologia, con specifiche funzioni professionali. Tutti lavoravano per organizzazioni con oltre 1.000 dipendenti e hanno confermato un team di sviluppo software di almeno 50 membri. Il margine di errore per il campione complessivo è di ±3 punti percentuali a un livello di confidenza del 95%.

Fonte: Business Wire

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.impresacity.it - 8.5.7 - 4.6.4 - X0