Note di Matteo

Gli LLM stanno lentamente rivoluzionando il settore dei sistemi di analisi statica del codice per rilevare vulnerabilità. Finora erano prevalentemente basati su regole ma gli LLM specialmente di reasoning sono molto superiori perché sono in grado di fare collegamenti del codice e valutazioni dettagliate.

Qua ce ne sono alcuni con relativa recensione.

My general summary is as follows:

• Multiple AI-native SASTs are already on the market, ready to use today.
• They work extremely well.
• They find real vulnerabilities and logic bugs in minutes.
• They can “think”/”reason” about business logic issues.
• They can match developer intent with actual code.
• They aren’t based on static rule-sets and queries.
• They have low false positive rates.
• They’re cheap (for now).
• My results showed that (in order of success for finding vulnerabilities), ZeroPath, Corgea, and Almanax, are the top three products on the market right now. I did not test DryRun. However, all three products have different functions and can solve different problems, so I would recommend testing all of them if you can.

Le regole di scrittura di George Orwell (dal Post):

1. Mai usare una metafora, una similitudine o un’altra figura retorica che siete soliti leggere sui giornali.
2. Mai usare una parola lunga quando una breve funziona lo stesso.
3. Se si può togliere una parola, toglietela sempre.
4. Mai usare il passivo quando potete usare l’attivo.
5. Mai usare una frase straniera, un termine scientifico, una parola di qualsiasi gergo se sapete pensare all’equivalente in inglese comune.
6. Piuttosto che scrivere una cosa orrenda ignorate le regole precedenti.

Alexa+ in Italia da gennaio 2026! (DDay)

Bending Spoons sta per comprare anche AOL per 1,4 miliardi di dollari, pazzesco! Lo stesso importo con cui ha comprato Vimeo poche settimane fa. Secondo Reuters nel portfolio AOL ci sono anche prodotti come LastPass, ma non ne trovo riscontro cercando online.

The deal would add AOL's vast user base to Bending Spoons' portfolio of mobile applications. AOL generates revenue from advertising and through its subscription services, including LifeLock identity theft protection, LastPass password management, and McAfee Multi Access malware protection.

In generale AOL non è sicuramente nota per prodotti digitali rilevanti, almeno in Europa, infatti Reuters la chiama "legacy media brand".

Nuove icone della suite Office, il ritorno dei gradienti! Anche se quelle del 2018 appaiono ancora molto attuali.

(The Verge)

Liquid Glass edition:

(Twitter)

Interessante mossa di Microsoft: per 19,99 $ al mese Copilot + Microsoft 365 Family:

Microsoft 365 Premium will be priced at $19.99 per month, the same price as OpenAI’s ChatGPT Plus subscription, and will include Microsoft’s highest usage limits in features like GPT-4o image generation and voice, as well as Copilot Podcasts, Deep Research, Vision, and Actions. It will also include all of the Microsoft 365 Family benefits, with access to Office desktop apps for six people, 1TB of storage per person, and more.

(The Verge)

Dalla newsletter Big Tech on Trial:

The underlying structure of targeted internet advertising is completely different from the old days.

Instead of individual websites selling ad space, they hire a service to manage their space for them. This is a “publisher ad server,” and it has a large inventory of websites looking to sell space, which is why we’ll call it the “sell side” for short. On the “buy side” is an “advertiser ad network,” which similarly has a large inventory of advertisers looking for space to post ads. (Judge Brinkema found Google not liable for illegally monopolizing the buy side.)

In between the publisher ad server (the sell side) and the advertiser ad network (the buy side) is an “advertising exchange” which matches up ads with spaces by holding a lightning speed auction. In the time it takes a website to load after you click on it (maybe half a second), an ad exchange auctions off the advertising space on that webpage to the highest bidder among all the advertisers in the ad network inventories.

The three parts together are known as the “ad tech stack.” Companies compete to provide these services on the sell side, ad exchange, and buy side, and these are the three markets Google dominates with DFP, AdX, and Google Ads, respectively. Here’s what that all looks like visually:

In beta con 1Password i file .env con i secret letti automaticamente dal password manager:

1Password makes your environment variables available as a .env file without actually storing the plaintext contents on your device. Instead, the file contents are passed directly to the reader process on demand through a UNIX-named pipe. [...] When your application tries to read the file, you'll receive an authorization prompt asking for approval to populate the .env file. The file will lock again when 1Password locks.

Super cool!

Fly.io ha annunciato che ridurrà significativamente il numero di region globali, passando da 35 a 18! In Sud America si passa da 4 region a solo una, in Europa spariscono Polonia, Spagna e Romania. In America del Nord ne spariscono ben 9!

I talebani hanno "spento Internet" in Afghanistan.

La situazione vista da Cloudflare:

E da DataPacket/CDN77:

is there a sea horse emoji? e gli LLM vanno in crisi!

Anche GPT-5 e Claude Sonnet 4.5, incredibilmente. Sembra uno di quei "bug" di GPT-3/3.5 quando il modello finiva in loop e buttava fuori token a caso.

(ChatGPT)

OpenAI ha annunciato Sora 2, assieme a un'app stile TikTok dove si scorre tra video generati con AI (TikTok for deepfakes, dice The Verge, e già qui...), e sorprende il livello di distacco dalla realtà dei lavoratori di OpenAI sul tema.

Un ricercatore OpenAI che lavora su Sora ha pubblicato casualmente un video generato con AI, e quindi totalmente falso, di Sam Altman che viene arrestato dopo aver rubato una GPU. Dovrebbe passare per la testa un dubbio, no?

Rai News 24 ha nuova grafica da lunedì 29 ottobre:

Il rollout è stato un po' travagliato: è iniziato poco prima delle 01:00 ma ha richiesto mezza giornata per arrivare alla versione finale.

P.S. si inaugura l'upload di immagini nei post di questo sito con questa immagine.

Il comune di Trento ha iniziato a notificare le multe (della polizia locale, presumo) tramite il sistema SEND (Servizio Notifiche Digitali), che tenta una notifica in formato digitale, cioè con app IO oppure PEC, prima di ricorrere alla raccomandata.

Riporta il TGR che alcuni cittadini pensavano che la notifica via posta fosse una truffa, e riporta Il Dolomiti che girano truffe a nome di PagoPA.

La cosa assurda è che purtroppo il sistema di notifiche digitali SEND ha come dominio ufficiale notifichedigitali.it (indicato anche sulle comunicazioni cartacee) ed è così essenzialmente impossibile distinguere a colpo d'occhio se si tratta di un sito ufficiale. Non costerebbe nulla usare correttamente la TLD gov.it e poi comunicare ai destinatari che si possono fidare proprio perché il dominio termina con .gov.it.

[ qua avrei incollato un'immagine della comunicazione cartacea, ma non ho ancora implementato il sistema di upload su questo sito :) ]

EDIT eccola:

È il turno di Anthropic: è uscito Claude Sonnet 4.5, l'ultima evoluzione degli LLM Anthropic, e come al solito è molto focalizzato sul coding. Anthropic stessa dichiara che Sonnet 4.5 is the best coding model in the world, probabilmente senza temere di essere smentita. Simon Willison è d'accordo, vedremo!

Uh, bunny.net lancerà una nuova status page e metterà a disposizione il prodotto costruito in-house a tutti per creare le proprie status page, con health check, iscrizioni, changelog, ecc.

Nel 2026 arriva il sequel di The Social Network!

Il film non riprenderà la narrazione del 2010, che raccontava in sostanza la fondazione di Facebook, ma si concentrerà invece sullo scandalo legato alle accuse di Haugen: dalla denuncia sugli effetti negativi di Instagram sulla salute mentale delle adolescenti alla gestione insufficiente della moderazione dei contenuti in lingue diverse dall’inglese, fino al ruolo della piattaforma nei conflitti internazionali.

Il primo film è stato di ispirazione per molti (me compreso), ma poi le cose sono andate in una direzione un po' più creepy del previsto.

Con 2,4 milioni di firme la petizione dei cittadini del Regno Unito per bloccare la proposta di carta d'identità digitale mi sembra un grande esempio delle diverse sensibilità dei popoli nei confronti dei propri governi.

We think this would be a step towards mass surveillance and digital control, and that no one should be forced to register with a state-controlled ID system. We oppose the creation of any national ID system.

In Regno Unito non esistono le carte d'identità come le conosciamo noi, e quindi questo viene visto come un tentativo di schedare la popolazione. In Italia e presumo nella maggior parte dei paesi europei è invece la normalità che lo Stato conosca già i dati di tutti perché emette i documenti di identità.

Il rischio in Italia è stato preso in considerazione nel momento di introdurre l'identità digitale: anziché centralizzare il sistema, si è scelto il modello SPID dove esistono diversi identity provider tra cui poter scegliere liberamente. Il paradosso è che questo sistema decentralizzato ha mostrato i suoi limiti e ora molti chiedono a gran voce una migrazione (ormai molto probabile) verso CieID, cioè un sistema centralizzato a pieno controllo statale basato sulla carta d'identità elettronica.

Magari è solo questione di abitudini che si creano nel tempo. O magari siamo come popolo in realtà molto selettivi (o ipocriti) nello scegliere quando fidarci dello Stato.

Il monopolio di Google nei servizi web:

• #1 and #2 most-visited websites: Google.com is the most popular website in the world, and YouTube is #2. Google.com gets 85 billion monthly visits – more than the next 9 most-visited websites, combined
• Android: around 4.2 billion users (circa 75% of global smartphone market share)
• Chrome: circa 3.45 billion users (around 65% of global browser market share)
• Gmail: approximately 1.8 billion active users

Con questi risultati finanziari:

In absolute terms, Google is currently the most profitable company in the world; it generated $115 billion in profit (net income) over the past 12 months on $371 billion in revenue.

At its core, Google is still an advertising company; around 75% of revenue comes from selling ads on Google Search, YouTube, and the Google Ads network.

E questa quantità di staff tecnico:

Google employs around 60,000 software engineers [...] This makes Google one of the largest employers of software engineers. [...] Google runs more than 25 engineering offices.

(The Pragmatic Engineer)

La storia si ripete:

Mr. Musk has reorganized xAI on the fly. He has led an aggressive recruiting drive for engineers. And he has pushed out a flurry of prominent researchers, even as others have left because they thought xAI had abandoned science in favor of attention-grabbing products, like a chatbot that sometimes produced offensive material and flirty A.I. chat companions, according to two people with knowledge of the company who spoke on the condition of anonymity.

(I capitoli precedenti sono la scissione di Anthropic per dissensi sulla scarsa attenzione alla ricerca sull'allineamento, e le grandi litigate tra OpenAI e Musk di nuovo sulla necessità di fare ricerca e in modo aperto: openai.com/elon-musk)