una collaborazione tra anthropic e mozilla ha valutato se l’intelligenza artificiale possa superare gli ingegneri esperti alle spalle del browser firefox. nell’arco di due settimane, l’ultima variante di anthropic, claude opus 4.6, ha identificato 22 vulnerabilità distinte nel codice di firefox, sottolineando un potenziale impatto sull’security del software.
22 bug scoperti in 14 giorni: come claude opus 4.6 stressa firefox
l’analisi dimostra che la capacità di individuare vulnerabilità può raggiungere livelli elevati: le rivelazioni evidenziano 22 vulnerabilità distinte in appena due settimane, mettendo in luce la rapidità del processo di rilevamento affidato all’IA.
severità e contesto
secondo Anthropic, 14 vulnerabilità sono state classificate come alta gravità. in prospettiva, l’IA ha contribuito a catturare una quota pari a quasi il 20% delle vulnerabilità di alto livello risolte da ricercatori umani e strumenti automatizzati nel 2025.
punti chiave della rilevazione
l’analisi ha visto Claude esaminare circa 6.000 file in C++ e formulare > centinaia di report destinati a Mozilla. una delle scoperte fondamentali è stata un bug di tipo use-after-free nel motore JavaScript, rinvenuto in meno di 20 minuti, segno di un potenziale crash o di esecuzione di codice maligno. la rilevazione ha coperto un insieme di documentazione di oltre 100 segnalazioni per la revisione da parte del team di Mozilla.
dalla scoperta all’exploit: limiti e costi
l’esperimento dimostra che l’IA può operare come detective di livello mondiale, ma la fase di sfruttamento rimane ben più impegnativa e costosa rispetto al solo rinvenimento delle vulnerabilità.
la differenza tra trovare e sfruttare
il test chiedeva non solo di scoprire lacune ma anche di generare codice per sfruttarle. nonostante siano stati impiegati circa 4.000 dollari in crediti API e centinaia di test, Claude è riuscito a creare exploit funzionanti soltanto in due casi. gli esperti sottolineano che trovare una vulnerabilità resta più economico che trasformarla in un exploit operativo. La possibilità che una macchina produca persino un exploit grezzo, mirato a una miscompilazione in WebAssembly, ha suscitato notevole interesse nella comunità della sicurezza.
risposte di mozilla e implicazioni per la sicurezza
mozilla ha già provveduto a correggere la maggior parte delle vulnerabilità con l’aggiornamento firefox 148, rilasciato a febbraio. i problemi residui sono pianificati per futuri update. l’esito è visto come una vittoria per la sicurezza open source, piuttosto che come una fonte di allarme.
l’adozione di agenti IA come rete di sicurezza continua per software complesso emerge come una prospettiva promettente, capace di intercettare errori logici che i test automatizzati tradizionali, spesso indicati come fuzzing, potrebbero non individuare.
Lascia un commento