Un avvertimento a livello di settore su ransomware, rischio dei fornitori e intrusioni persistenti punta a una realtà fragile: in sanità, un singolo guasto digitale può propagarsi rapidamente.
Il CISC ha annunciato requisiti CIRMP rafforzati, portando IA, sistemi legacy, esposizione della supply chain e rischio insider al centro della governance delle infrastrutture critiche.
Sono stati segnalati compromessi oltre 140 pacchetti npm legati all'ecosistema Mastra AI, a dimostrazione di come una singola dipendenza avvelenata possa diventare un canale di distribuzione per gli infostealer.
Se l'operazione si chiude, la vera notizia non sarà il prezzo, ma l'onere di sicurezza che deriva dal collocare una piattaforma di coding AI all'interno di un ambiente di ingegneria ad alta fiducia.
Più di 140 pacchetti nel namespace Mastra sono stati segnalati come parte di una compromissione della supply chain, con una dipendenza di typosquatting, easy-day-js, usata in un modo che poteva adattarsi alla consegna di malware al momento dell'installazione.
Un difetto critico nello SDK Python di Google Cloud Vertex AI solleva un incubo di sicurezza fin troppo familiare: quando un flusso di lavoro IA smette di fidarsi dei propri artefatti, il danno può propagarsi ben oltre un singolo notebook o il caricamento di un singolo modello.
Un'interruzione legata ai modelli di Anthropic punta a un problema più ampio: l'IA di frontiera è controllata meno dal codice che dalle regioni cloud, dalla fornitura di chip e dall'accesso all'infrastruttura.
La gestione da parte di GitHub di due segnalazioni di vulnerabilità è ora al centro di un avvertimento più ampio su come fiducia nei pacchetti, credenziali dei maintainer e automazione all'installazione possano collidere negli ecosistemi open source.
Plugin JetBrains malevoli e componenti aggiuntivi sospetti per browser stanno mettendo nel mirino chiavi AI e conversazioni con chatbot, mostrando come le catene di approvvigionamento software possano diventare pipeline di raccolta dati.
L'annuncio di certificazione di Iron Bow va letto soprattutto come un segnale di conformità, non come una dichiarazione di sicurezza generalizzata, e segnala la crescente pressione sui fornitori affinché dimostrino di poter proteggere le informazioni governative controllate.
Un gruppo di plugin del JetBrains Marketplace avrebbe rubato chiavi API di provider AI, mostrando come estensioni affidabili per sviluppatori possano diventare un silenzioso livello di raccolta segreta all'interno dei flussi di lavoro quotidiani.
Un’identità di collaboratore dirottata e un’impennata nella pubblicazione di pacchetti hanno trasformato l’ecosistema @mastra/* in un avvertimento sulla supply chain per chiunque distribuisca JavaScript o TypeScript su larga scala.
Un insieme di plugin del marketplace camuffati da assistenti di programmazione mostra come un'estensione fidata dell'IDE possa diventare un canale silenzioso per il furto di segreti.
L'acquisto pianificato di Cursor da parte di SpaceX è meno interessante come storia di valutazione che come prova del fatto che i controlli sulla privacy, la scelta del modello e la fiducia aziendale possano sopravvivere a un cambio di proprietà.
Un white paper di Clayton Utz avverte che i consigli di amministrazione australiani possono non cogliere le vulnerabilità tecnologiche e della supply chain quando le dipendenze da terze parti sono difficili da mappare e i roll-out dell'IA avanzano più rapidamente della governance.
Un presunto incidente ransomware presso Mackay Sugar ricorda che gli attacchi ai trasformatori possono trasformarsi in problemi di continuità operativa per le filiere legate al settore alimentare.
Il passaggio dal low-code e dal no-code all'orchestrazione assistita dall'IA sta cambiando chi può creare software, ma sta anche cambiando ciò che deve essere considerato affidabile, revisionato e contenuto.
Un’ondata di upload malevoli ha spinto Arch Linux a sospendere le nuove registrazioni degli account, trasformando un repository della community in una lezione dal vivo sul rischio della supply chain.
Una nuova spinta dell’UE verso la sovranità collega chip, cloud, IA, open source e digitalizzazione dell’energia in un’unica agenda di resilienza, spostando il pensiero sulla sicurezza dai prodotti alle dipendenze.
Un AI demo day a Milano mette in evidenza un cambiamento più ampio: una volta che i modelli vengono usati in produzione, nella supply chain e negli acquisti, la sicurezza diventa una questione di fiducia, dati e controllo, non solo di prestazioni del software.