L’intelligenza artificiale sta rivoluzionando la sicurezza informatica: Claude di Anthropic ha trovato 22 vulnerabilità nel browser Firefox in appena due settimane, proteggendo milioni di utenti. Aggiorna subito Firefox alla versione 148.0 per beneficiare delle patch e attivare i controlli AI per una navigazione sicura.
I modelli di intelligenza artificiale non sono più solo assistenti per il codice, ma veri cacciatori di vulnerabilità autonomi. In una collaborazione con Mozilla a febbraio 2026, Claude Opus 4.6 ha analizzato il codice di Firefox, identificando difetti critici che potevano essere sfruttati da malintenzionati. Questo approccio ha dimostrato come l’AI possa velocizzare il processo di individuazione e correzione, riducendo i rischi per gli utenti quotidiani.
Mozilla ha classificato 14 vulnerabilità come ad alta severità, pari a circa il 20% di tutte quelle risolte nell’anno precedente. Tutte le falle validate sono state patchate nella release Firefox 148.0, salvaguardando centinaia di milioni di utenti attivi. Automatizzando l’analisi di percorsi complessi nel codice, le squadre di sicurezza possono ora accelerare il ciclo “trova e correggi” prima che i bug diventino armi per gli hacker.
Scoperta autonoma delle vulnerabilità
Per testare le capacità su un codebase complesso, i ricercatori hanno puntato Claude sul repository Firefox, partendo dal motore JavaScript, noto per la sua vasta superficie di attacco. In soli venti minuti, l’AI ha rilevato una vulnerabilità Use After Free, un errore di corruzione della memoria che permette di sovrascrivere dati con payload malevoli.
Successivamente, ha esaminato quasi 6.000 file C++, generando 112 report di bug inviati direttamente al tracker Bugzilla di Mozilla. Per gestire questo flusso massiccio, umani e AI hanno affinato il processo di triage, confermando che la caccia ai bug assistita dall’AI richiede una stretta collaborazione.
| Componente | Impatto sulla sicurezza | Stato di rimediazione |
|---|---|---|
| Use After Free (zero-day) | Motore JavaScript: esecuzione codice malevolo via corruzione memoria | Patchato in Firefox 148.0 |
| Falle ad alta severità (14) | File core C++: impatti critici | Patchato in Firefox 148.0 |
| Falle moderate (8) | Sottosistemi browser: sfruttamento limitato o bypass difese | Previste in release future |
Sebbene Claude sia eccellente nel trovare difetti, la sua capacità di creare exploit è limitata. Dopo centinaia di tentativi e 4.000 dollari in crediti API, ha prodotto solo due exploit funzionali, ma richiedevano sandbox disabilitata – un meccanismo che Firefox attiva per bloccare tali attacchi nel mondo reale.
Al momento, i difensori hanno il vantaggio: l’AI è più efficace e economica nel trovare vulnerabilità rispetto a svilupparne exploit. Con il lancio di Claude Code Security in preview, queste capacità sono ora accessibili a clienti e maintainer open-source.
Gli esperti avvertono che il divario tra scoperta e sfruttamento si chiuderà presto. Le organizzazioni devono adottare principi di divulgazione coordinata delle vulnerabilità per anticipare le minacce. Per contrastare i bug generati dall’AI, i ricercatori propongono workflow di verifica come i “task verifiers”, metodi automatizzati che permettono all’AI di controllare iterativamente il proprio lavoro.
Requisiti chiave per report di vulnerabilità AI-generati:
- Includi test case minimi per dimostrare le condizioni trigger.
- Fornisci proof-of-concept dettagliate per chiarire il vettore di sfruttamento.
- Invia patch candidate generate e validate dall’AI per accelerare le correzioni.
- Usa suite di test automatiche per verificare che le patch eliminino la falla senza regressioni.
Firefox 148 introduce anche innovazioni come il pannello “AI Controls” con kill switch per disattivare funzioni AI, opt-out dalla telemetria e miglioramenti su Android, bilanciando innovazione e privacy.
Approfondimento tecnico
Claude Opus 4.6 rappresenta un balzo in avanti nei modelli AI per la cybersecurity. Operando come un team di agenti paralleli, analizza codebase complesse senza istruzioni specifiche su tool come debugger o fuzzer, sfruttando puro ragionamento. Ha identificato oltre 500 zero-day in progetti open-source scrutinati, inclusi GhostScript, OpenSC e CGIF, focalizzandosi su corruzioni memoria facili da validare via crash.
Le patch sono state scritte da umani, ma l’AI accelera il rilevamento. Claude Code Security va oltre l’analisi statica: “ragiona” sul contesto, flusso dati e interazioni moduli, individuando anomalie complesse. Ogni report include gravità, affidabilità e patch suggerite, ma l’approvazione resta umana.
In test interni, ha gestito repository locali simulando ambienti con utility standard. Rispetto a tool tradizionali, cattura vulnerabilità contestuali che sfuggono a pattern matching. Mozilla integrerà il modello nello sviluppo futuro, gestendo flussi di report con triage ibrido.
Per sviluppatori: implementa verifiers task per AI patching. Usa CVD per disclosure responsabile. L’exploit generation resta debole – solo 2/112 casi – grazie a difese come sandbox. Futuro: AI chiuderà gap discovery-exploitation, richiedendo nuovi protocolli. Con 28 vulnerabilità corrette in Firefox 148 (18 use-after-free, 10 boundary error, 5 sandbox escape), il browser rafforza stabilità contro minacce emergenti.
Questo shift industria sposta paradigma: AI da minaccia a alleato, ma vigilance essenziale. (Parole: 1024)
Fonte: https://cybersecuritynews.com/claude-ai-22-firefox-vulnerabilities/
