Anthropic: Claude trova 22 vulnerabilità in Firefox in due settimane
Il modello Claude Opus 4.6 di Anthropic ha identificato 22 vulnerabilità di sicurezza nel browser Firefox, di cui 14 ad alta severità. I fix sono stati inclusi…
Contenuto
Scopri anche
- Anthropic e Mozilla: Claude trova 22 vulnerabilità in Firefox in due settimane
- Claude di Anthropic scopre 22 vulnerabilità in Firefox: la collaborazione con Mozilla
- Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
- Michael Larabel e Phoronix: vent'anni di documentazione sull'hardware Linux
- OpenAI conquista il Pentagono, Anthropic lancia Claude Code Security per la difesa informatica
- Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
- Calibre 9.4 e LibreOffice 26.2.1: aggiornamenti per software open source
- Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi
- OpenAI sostituisce Anthropic nelle forniture al Pentagono: accordo da miliardi e scontro etico sull'IA militare
- OpenClaw, l'agente AI vietato da Meta per gravi vulnerabilità di sicurezza
- Certificazione NATO per iPhone e le minacce digitali: sicurezza e attacchi
- Anthropic e il Pentagono: lo scontro sul controllo dell'intelligenza artificiale militare
- Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati
- Ollama: il framework open source per eseguire LLM in locale senza dipendenze cloud
- Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
- OpenAI rilascia GPT-5.3 Instant: conversazioni più dirette e riduzione degli errori per ChatGPT
- iOS 26.3.1: Apple prepara l'aggiornamento di manutenzione per iPhone
- OpenClaw: l'assistente AI open source tra potenzialità e rischi di sicurezza
- Samsung Galaxy: aggiornamenti sicurezza 2026 e rilascio One UI 8 con funzioni AI
- Claude supera ChatGPT nell'App Store USA dopo il rifiuto di Anthropic a collaborare con il Pentagono
Anthropic: Claude trova 22 vulnerabilità in Firefox in due settimane
- Il metodo di rilevamento assistito da AI
- La validazione e la risposta di Mozilla
- Limitazioni nella creazione di exploit
- Il contesto delle vulnerabilità nei browser
- Implicazioni per i manutentori open source
- Considerazioni sui crash non correlati a software
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Mozilla e Anthropic hanno annunciato una partnership per migliorare la sicurezza e la stabilità del browser Firefox. Il modello di intelligenza artificiale Claude Opus 4.6 ha identificato 22 vulnerabilità di sicurezza nel corso di due settimane, di cui 14 classificate come ad alta severità. Le correzioni sono state incluse nella versione 148 di Firefox, rilasciata a febbraio 2026.
Il metodo di rilevamento assistito da AI
⬆ Torna suL'approccio di Anthropic si è distinto dai precedenti tentativi di rilevamento bug assistiti da AI, che spesso producevano falsi positivi richiedendo lavoro non necessario da parte dei team di sviluppo. I report inviati da Anthropic contenevano casi di test minimi per aiutare Mozilla a verificare e riprodurre rapidamente ogni problema.
Il team di Anthropic ha utilizzato Claude Opus 4.6 per analizzare quasi 6.000 file C++ del codebase di Firefox. L'analisi è iniziata concentrandosi sul motore JavaScript, per poi estendersi ad altri componenti del browser. Secondo quanto riportato, Claude ha impiegato circa 20 minuti per trovare il primo bug durante un test interno delle proprie capacità.
Complessivamente, Claude ha inviato 112 report di bug unici a Mozilla. Di questi, 22 riguardavano vulnerabilità di sicurezza, mentre altri 90 bug sono stati classificati come non correlati alla sicurezza. La maggior parte delle correzioni è già stata inclusa in Firefox 148, con le rimanenti pianificate per la prossima versione.
La validazione e la risposta di Mozilla
⬆ Torna suGli ingegneri di Mozilla hanno validato i risultati e implementato le correzioni in tempi rapidi. Brian Grinstead, senior principal engineer di Mozilla, ha confermato che Anthropic ha contattato l'organizzazione con il primo bug di sicurezza validato alcune settimane prima del rilascio. Il team di Mozilla ha mobilitato diversi gruppi di ingegneri per convalidare i risultati e scrivere le patch.
Secondo Mozilla, i risultati ottenuti con Anthropic sono stati talmente positivi da avviare una collaborazione estesa al resto del codebase di Firefox entro poche ore dai primi risultati. Tutti i bug identificati sono stati corretti nell'ultima versione del browser distribuita a centinaia di milioni di utenti.
Limitazioni nella creazione di exploit
⬆ Torna suNonostante l'efficacia nel identificare vulnerabilità, Claude ha dimostrato difficoltà significative nel creare exploit funzionanti. Il team di Anthropic ha speso circa 4.000 dollari in crediti API nel tentativo di sviluppare proof-of-concept, riuscendovi solo in due occasioni.
Gli utenti Claude sono riusciti a generare un exploit funzionante per una delle vulnerabilità poi corretta (CVE-2026-2796). Tuttavia, i ricercatori hanno precisato che l'exploit creato da Claude funziona esclusivamente all'interno di un ambiente di test che rimuove intenzionalmente alcune delle funzionalità di sicurezza dei browser web moderni.
Claude non è ancora in grado di scrivere exploit "full-chain" che combinano molteplici vulnerabilità per aggirare il sandbox del browser, quelli che causerebbero danni reali. Anthropic ha tuttavia osservato che il divario tra capacità di scoperta e capacità di sfruttamento potrebbe ridursi con i futuri modelli.
Il contesto delle vulnerabilità nei browser
⬆ Torna suI browser moderni gestiscono JavaScript compilato JIT, decoder multimediali, parser complessi e confini di sandbox rigorosi, mantenendo al contempo elevate prestazioni e compatibilità multipiattaforma. Storicamente, gran parte delle vulnerabilità più gravi nei browser riguarda problemi di sicurezza della memoria nei componenti C/C++.
Il team di sicurezza di Google ha evidenziato che circa il 70% dei bug gravi in Chrome riscontrati nell'arco di diversi anni derivava da problemi di sicurezza della memoria, un pattern confermato anche da Microsoft e NIST. Firefox ha progressivamente integrato Rust per eliminare intere categorie di problemi legati alla memoria e utilizza estensivamente fuzzing, sanitizer e revisione del codice.
Implicazioni per i manutentori open source
⬆ Torna suAnthropic ha dichiarato di aver identificato oltre 500 vulnerabilità zero-day in software open source utilizzando i propri modelli AI. L'azienda ha sottolineato come l'intelligenza artificiale renda possibile rilevare vulnerabilità gravi a velocità accelerate.
La collaborazione con Mozilla ha fornito un modello per come ricercatori di sicurezza abilitati all'AI e manutentori possano collaborare efficacemente. Mozilla ha contribuito a definire quali tipi di risultati giustificassero l'invio di un report e ha distribuito correzioni a centinaia di milioni di utenti.
Il caso evidenzia anche potenziali difficoltà per manutentori di progetti open source con meno risorse. Un flusso elevato di report generati da AI, anche se di qualità, potrebbe risultare difficile da gestire per team più piccoli con personale di sicurezza limitato.
Considerazioni sui crash non correlati a software
⬆ Torna suL'ingegnere Mozilla Gabriele Svelto ha rilevato che circa il 10% dei crash di Firefox è attribuibile a bit flip, ovvero cambiamenti involontari nella memoria causati da componenti elettronici difettosi, raggi cosmici o attacchi Rowhammer, piuttosto che da errori software. Nell'ultima settimana, Mozilla ha ricevuto circa 470.000 report di crash da utenti che hanno acconsentito alla segnalazione, di cui circa 25.000 appaiono potenzialmente causati da bit flip.
Questi problemi hardware esulano dal controllo di Mozilla, ma l'organizzazione è riuscita a rafforzare il proprio software grazie al supporto del red team di Anthropic.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa collaborazione tra Anthropic e Mozilla dimostra come l'analisi automatizzata del codice possa integrarsi nei processi di sicurezza esistenti, ma solleva interrogativi sulla scalabilità di questo approccio per progetti con meno risorse.
- Scenario 1: I manutentori di progetti open source potrebbero trovarsi ad affrontare un volume crescente di report generati automaticamente, con rischi di saturazione dei team di sicurezza più piccoli.
- Scenario 2: La riduzione del divario tra capacità di scoperta e di sfruttamento delle vulnerabilità osservata da Anthropic potrebbe modificare l'equilibrio tra ricercatori e attori malevoli nei prossimi anni.
- Scenario 3: L'integrazione di strumenti di analisi nei ciclo di sviluppo potrebbe accelerare, considerando i tempi ridotti necessari per identificare problemi critici nel codebase C++.
Cosa monitorare
⬆ Torna su- L'evoluzione delle capacità di generazione di exploit completi nei prossimi modelli.
- La capacità dei progetti open source con team ridotti di gestire potenziali flussi di segnalazioni.
- L'adozione di pratiche simili da parte di altri browser e progetti software di ampia diffusione.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.thurrott.com/cloud/web-browsers/mozilla-firefox/333467/mozilla-partners-with-anthropic-to-better-secure-firefox
- https://www.newsbytesapp.com/news/science/mozilla-fixes-22-security-flaws-flagged-by-anthropic-s-ai/story
- https://www.theregister.com/2026/03/06/firefox_bugs_anthropic_ai/
- https://www.findarticles.com/claude-finds-22-firefox-vulnerabilities-in-two-weeks/
- https://techcrunch.com/2026/03/06/anthropics-claude-found-22-vulnerabilities-in-firefox-over-two-weeks/
- https://mezha.net/eng/bukvy/anthropic_and_mozilla/
- https://oodaloop.com/briefs/technology/anthropics-ai-hacked-the-firefox-browser-it-found-a-lot-of-bugs/
In breve
- vulnerabilita
- anthropic
- cve
- opensource