Vibe coding, l’AI sta mettendo in crisi VLC e Blender: ecco perché

Negli ultimi anni l’intelligenza artificiale generativa è entrata a gamba tesa anche nel mondo dello sviluppo software, con il cosiddetto “vibe coding“: basta un prompt testuale in linguaggio naturale per far generare il codice al posto nostro. Per molti utenti è un modo rapido per trasformare rapidamente un’idea in un programma, un’app o un sito web, anche senza avere nessuna competenza di coding. Per il mondo open source, però, si sta già rivelando un’arma a doppio taglio.

Questa nuova scorciatoia ha infatti aperto le porte a piccole imprese e a singoli utenti che prima non avrebbero mai messo mano a un progetto complesso. Ma quando questo approccio arriva nei progetti open source, dove il codice lo si condivide e lo si mantiene insieme, iniziano a emergere problemi molto concreti per chi quel software lo cura da anni.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

L’uso massiccio dell’IA per scrivere codice sta cambiando il modo in cui tante persone contribuiscono al software open source.

Invece di studiare il codice sorgente, capire l’architettura del progetto e proporre modifiche ragionate, molti si limitano a generare codice con un chatbot e a inoltrare il contributo per la verifica. Il lavoro vero, però, resta tutto sulle spalle dei manutentori, che sono sommersi da questo AI slop, quasi sempre di qualità scadente.

Lo si vede bene in progetti molto noti come VLC, uno dei lettori multimediali più diffusi al mondo. Il suo amministratore delegato ha segnalato un forte calo della qualità media delle richieste di merge inviate dai nuovi arrivati, proprio perché spesso generate dall’IA. Il codice arriva più velocemente, ma è meno curato, meno coerente e richiede più tempo per essere controllato.

Un discorso simile arriva dagli sviluppatori di Blender, storico software di modellazione 3D nato nel 2002 e rimasto sempre open source. I suoi moderatori hanno dovuto gestire un’ondata di richieste di merge scritte con l’aiuto dell’IA, che nella pratica si sono trasformate in ore di controlli, correzioni e rifiuti.

Il risultato, secondo quanto riportato dall’amministratore delegato, non è solo perdita di tempo, ma anche calo di motivazione.

Nei progetti open source, la priorità non è pubblicare continuamente nuove funzionalità, ma mantenere la stabilità del software e costruire un rapporto di fiducia con gli utenti finali. Ogni modifica mal gestita, ogni bug introdotto da codice generato frettolosamente, mina questa fiducia. Con l’aumento dei contributi scritti dall’IA, diventa più difficile garantire che ogni riga che entra nel progetto sia davvero all’altezza delle aspettative.

Chi lavora da anni nel settore sottolinea un punto preciso: l’IA aiuta davvero solo chi è già competente. Senza una buona conoscenza della struttura del progetto e senza capire cosa fa il codice generato, non si è in grado di valutarlo, correggerlo o adattarlo alle regole del software a cui si contribuisce.

L’investitore Konstantin Vinogradov, intervistato da TechCrunch, ha riassunto bene la situazione: l’IA non aumenta il numero di manutentori qualificati, ma dà più potere a chi è già bravo.

I problemi fondamentali dei progetti open source – trovare persone esperte, affidabili e costanti nel tempo – restano esattamente gli stessi, solo che ora sono sommersi da più rumore.

C’è poi un altro settore che sta soffrendo non poco l’utilizzo del vibe coding. Nei programmi di bug bounty, le aziende offrono ricompense economiche a chi trova vulnerabilità, le documenta in un rapporto e propone una correzione. In alcuni casi si parla di cifre importanti, che attirano sempre più persone e, di recente, sempre più prompt.

Il progetto cURL, ad esempio, paga circa 500 dollari per i bug più semplici e fino a 10.000 dollari per quelli più gravi. Non sorprende che molti abbiano iniziato a far analizzare il codice a un modello linguistico alla ricerca di possibili problemi, inviando poi il report all’azienda e classificando la vulnerabilità come “grave” nella speranza di ottenere la ricompensa più alta.

Secondo quanto dichiarato dallo sviluppatore Daniel Stenberg, già all’inizio del 2025 i contributi generati in questo modo erano tantissimi: circa 5 report su 6 arrivavano dall’IA.

Verso la fine dell’anno la situazione è peggiorata ulteriormente, fino al punto in cui solo 1 report su 20 o 30 risultava effettivamente redatto da un umano. Il resto era rumore, falsi allarmi o analisi superficiali.

Di fronte a questa valanga di segnalazioni poco affidabili, cURL non ha avuto molte alternative: ha deciso di sospendere il programma di ricerca dei bug. Una scelta che penalizza tutti gli sviluppatori che per anni hanno dedicato tempo e competenze reali a trovare vulnerabilità e a migliorare il software, e che ora si trovano senza uno strumento di riconoscimento economico del proprio lavoro.

Il paradosso è evidente: un’intelligenza artificiale pensata per aumentare la produttività finisce per consumare il tempo di chi mantiene i progetti, fino a spingerli a chiudere alcune delle iniziative più utili per la sicurezza del software. E a quel punto, più che di vibe, resta soprattutto da gestire il conto degli effetti collaterali.