Uno dei casi più emblematici dei rischi legati al cosiddetto “vibe coding” sta emergendo dal mondo del cybercrime internazionale, dove un marketplace clandestino specializzato nella vendita di carte di credito rubate avrebbe accidentalmente esposto online circa 345 mila record finanziari sensibili dopo aver costruito gran parte della propria infrastruttura tecnica utilizzando strumenti di intelligenza artificiale senza adeguati controlli di sicurezza. La vicenda riguarda “Jerry’s Store”, piattaforma di carding individuata dai ricercatori di Cybernews e diventata rapidamente un caso di studio nel dibattito globale sulla programmazione assistita da AI.
Secondo quanto emerso dalle analisi tecniche, il marketplace operava nel dark web come piattaforma specializzata nella compravendita di dati finanziari rubati, offrendo agli acquirenti anche strumenti per verificare in tempo reale se le carte risultassero ancora attive prima dell’acquisto. Il problema è nato quando l’intera infrastruttura server della piattaforma sarebbe stata sviluppata quasi interamente tramite Cursor, assistente AI per la scrittura automatica di codice prodotto dalla società statunitense Anysphere.
Cursor è uno dei software più popolari della nuova generazione di strumenti AI dedicati allo sviluppo software. La piattaforma permette ai programmatori di descrivere in linguaggio naturale ciò che desiderano realizzare, lasciando al modello AI il compito di generare automaticamente codice, configurazioni server e componenti backend. Questo approccio, diventato noto come “vibe coding”, sta trasformando radicalmente il settore dello sviluppo software perché consente anche a persone con competenze tecniche limitate di costruire applicazioni relativamente complesse attraverso semplici istruzioni testuali.
Nel caso di Jerry’s Store, però, l’utilizzo massiccio dell’intelligenza artificiale avrebbe prodotto un risultato paradossale: il marketplace criminale sarebbe stato compromesso non da hacker esterni, ma dagli stessi errori strutturali generati durante la costruzione automatizzata dell’infrastruttura. Secondo i ricercatori di Cybernews, il pannello di amministrazione del sistema risultava completamente aperto e accessibile pubblicamente da qualsiasi browser, senza autenticazione, password o restrizioni di accesso.
Il problema mostra uno dei limiti più delicati dei moderni sistemi AI di coding. I large language models utilizzati per generare software sono estremamente efficienti nel produrre rapidamente codice funzionale, ma non possiedono reale comprensione architetturale della sicurezza informatica. Se il prompt fornito dall’utente non include esplicitamente requisiti di cybersecurity, il sistema tende spesso a generare soluzioni operative ma prive di protezioni adeguate.
Questo comportamento deriva direttamente dalla natura probabilistica dei modelli linguistici. L’AI genera codice sulla base delle correlazioni statistiche apprese durante l’addestramento, cercando la soluzione più plausibile rispetto alla richiesta ricevuta. Tuttavia, sicurezza, segmentazione degli accessi, autenticazione e protezione dei dati richiedono spesso progettazione intenzionale e validazione specialistica. Quando questi elementi non vengono specificati chiaramente, il modello può produrre infrastrutture vulnerabili pur mantenendo apparentemente corretto il funzionamento applicativo.
Nel caso di Jerry’s Store, l’errore sarebbe stato amplificato proprio dall’approccio tipico del vibe coding. I gestori della piattaforma avrebbero utilizzato prompt generici per costruire dashboard amministrative, sistemi di gestione dei dati e interfacce operative senza effettuare controlli manuali approfonditi sul codice generato automaticamente. Il risultato finale sarebbe stato un’infrastruttura completamente esposta online, contenente circa 345 mila record di carte di credito rubate e informazioni associate.
La vicenda evidenzia anche una trasformazione molto più ampia del cybercrime contemporaneo. L’intelligenza artificiale sta abbassando drasticamente la soglia tecnica necessaria per costruire strumenti informatici complessi. Marketplace illegali, pannelli phishing, malware e piattaforme di frode possono oggi essere sviluppati molto più rapidamente rispetto al passato grazie ai modelli generativi dedicati al coding. Questo significa che anche soggetti con competenze limitate possono produrre infrastrutture cybercriminali relativamente sofisticate utilizzando assistenti AI.
Paradossalmente, però, questa stessa democratizzazione tecnica introduce nuove vulnerabilità. Molti operatori che utilizzano AI per programmare non comprendono pienamente il funzionamento del codice generato e finiscono per distribuire applicazioni con errori critici, configurazioni insicure o sistemi di autenticazione inesistenti. Jerry’s Store rappresenta proprio uno dei primi grandi esempi pubblici di “AI-generated cybercrime failure”, cioè un’infrastruttura criminale compromessa direttamente dalle debolezze del codice generato automaticamente.