Anthropic e Mozilla: Claude trova 22 vulnerabilità in Firefox in due settimane
La collaborazione tra Anthropic e Mozilla ha portato alla scoperta di 22 vulnerabilità di sicurezza in Firefox, di cui 14 ad alta severità. Claude Opus 4.6 ha…
Contenuto
Scopri anche
- Claude di Anthropic scopre 22 vulnerabilità in Firefox: la collaborazione con Mozilla
- Michael Larabel e Phoronix: vent'anni di documentazione sull'hardware Linux
- OpenAI conquista il Pentagono, Anthropic lancia Claude Code Security per la difesa informatica
- L'AI smaschera gli anonimi: uno studio dimostra che gli LLM identificano il 68% degli utenti
- Calibre 9.4 e LibreOffice 26.2.1: aggiornamenti per software open source
- Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi
- OpenAI sostituisce Anthropic nelle forniture al Pentagono: accordo da miliardi e scontro etico sull'IA militare
- OpenClaw, l'agente AI vietato da Meta per gravi vulnerabilità di sicurezza
- Certificazione NATO per iPhone e le minacce digitali: sicurezza e attacchi
- Anthropic e il Pentagono: lo scontro sul controllo dell'intelligenza artificiale militare
- Ollama: il framework open source per eseguire LLM in locale senza dipendenze cloud
- Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
- OpenAI rilascia GPT-5.3 Instant: conversazioni più dirette e riduzione degli errori per ChatGPT
- Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
- OpenClaw: l'assistente AI open source tra potenzialità e rischi di sicurezza
- Samsung Galaxy: aggiornamenti sicurezza 2026 e rilascio One UI 8 con funzioni AI
- Claude supera ChatGPT nell'App Store USA dopo il rifiuto di Anthropic a collaborare con il Pentagono
- L'intelligenza artificiale può replicare la personalità umana con due ore di conversazione
- Vulnerabilità software e cybersecurity: come proteggersi dagli attacchi informatici
- OpenAI sostituisce Anthropic nei contratti militari USA: lo scontro sui limiti dell'IA bellica
Anthropic e Mozilla: Claude trova 22 vulnerabilità in Firefox in due settimane
- Il metodo di analisi di Claude Opus 4.6
- Differenza tra rilevamento e sfruttamento
- Contesto: oltre 500 zero-day nel software open source
- Implicazioni per i manutentori open source
- Il contesto dei crash da hardware difettoso
- Raccomandazioni per utenti e sviluppatori
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Anthropic e Mozilla hanno annunciato una partnership per migliorare la sicurezza e la stabilità del browser Firefox. Nel corso di due settimane, il modello Claude Opus 4.6 ha identificato 22 vulnerabilità di sicurezza, di cui 14 classificate come ad alta severità. I risultati sono stati integrati nella versione 148 di Firefox, rilasciata il 24 febbraio.
L'iniziativa è partita dal Frontier Red Team di Anthropic, che ha contattato Mozilla con i risultati di un nuovo metodo di rilevamento delle vulnerabilità assistito da intelligenza artificiale. Gli ingegneri di Mozilla hanno validato le scoperte e implementato le correzioni prima del rilascio di Firefox 148.
Il metodo di analisi di Claude Opus 4.6
⬆ Torna suSecondo quanto riportato da Mozilla, Claude Opus 4.6 ha scansionato quasi 6.000 file C++ del codebase di Firefox. L'analisi è iniziata dal motore JavaScript per poi estendersi ad altri componenti del browser. Il modello ha inviato un totale di 112 segnalazioni di bug uniche, delle quali 90 erano problemi non correlati alla sicurezza, la maggior parte dei quali è stata già risolta.
La documentazione fornita da Anthropic indica che ogni segnalazione includeva test case minimi per facilitare la verifica e la riproduzione dei problemi. Questo approccio ha distinto le segnalazioni di Anthropic da precedenti report generati da AI, che spesso contenevano falsi positivi e richiedevano lavoro aggiuntivo di verifica.
Brian Grinstead e Christian Holler, ingegneri di Mozilla, hanno spiegato che entro poche ore dalla ricezione dei primi report, i team di piattaforma hanno iniziato a implementare le correzioni, avviando una stretta collaborazione con Anthropic per applicare la stessa tecnica al resto del codebase del browser.
Differenza tra rilevamento e sfruttamento
⬆ Torna suLa documentazione tecnica evidenzia una distinzione significativa: Claude Opus si è dimostrato più efficace nell'identificare vulnerabilità che nel creare exploit funzionali. Anthropic ha speso circa 4.000 dollari in crediti API per tentare di sviluppare proof-of-concept, riuscendovi solo in due casi.
Gli esperti di sicurezza Evyatar Ben Asher, Keane Lucas, Nicholas Carlini, Newton Cheng e Daniel Freeman hanno precisato che l'exploit generato da Claude funziona esclusivamente all'interno di un ambiente di test che rimuove intenzionalmente alcune funzionalità di sicurezza dei browser moderni. Claude non è ancora in grado di scrivere exploit "a catena completa" che combinino multiple vulnerabilità per evadere il sandbox del browser.
Anthropic ha dichiarato che, osservando il ritmo di progresso, è improbabile che il divario tra capacità di rilevamento e capacità di sfruttamento duri molto a lungo. L'organizzazione ha sottolineato la necessità di considerare salvaguardie aggiuntive per prevenire l'uso improprio dei modelli future.
Contesto: oltre 500 zero-day nel software open source
⬆ Torna suAnthropic ha comunicato di aver utilizzato i propri modelli AI per identificare vulnerabilità ad alta severità in software complessi, trovando oltre 500 zero-day nel software open source fino ad ora. Nel mese precedente al test su Firefox, durante le verifiche su Claude Opus 4.6, Anthropic aveva scoperto oltre 500 difetti precedentemente sconosciuti in progetti open source.
La società ha anche lanciato Claude Code Security, uno strumento automatizzato per il test di sicurezza del codice. Mozilla ha mobilitato molteplici team di ingegneria per validare le scoperte e scrivere le patch. Brian Grinstead, senior principal engineer presso Mozilla, ha confermato che lo sfruttamento di queste vulnerabilità avrebbe richiesto la combinazione con altre falle, dato i sistemi di difesa multi-livello dei browser moderni.
Implicazioni per i manutentori open source
⬆ Torna suIl caso solleva questioni riguardo alle sfide che i manutentori open source con meno risorse potrebbero affrontare man mano che gli strumenti AI generano report più raffinati a un ritmo superiore. La situazione potrebbe rivelarsi difficile da gestire per team più piccoli con personale di sicurezza limitato.
I manutentori avvertono che le pull request generate indiscriminatamente da AI possono prosciugare la banda di revisione, sottolineando la necessità di linee guida chiare per i contributi e di gating automatizzato. Per i progetti open source, la lezione è che l'AI può funzionare come moltiplicatore di forza quando viene incanalata correttamente: stabilire template strutturati per le segnalazioni, richiedere proof-of-concept minimi per i report ad alto impatto e utilizzare pipeline CI per riprodurre le scoperte può aumentare il segnale e ridurre l'affaticamento da revisione.
Il contesto dei crash da hardware difettoso
⬆ Torna suParallelamente alla collaborazione con Anthropic, l'ingegnere Mozilla Gabriele Svelto ha evidenziato un fenomeno distinto: circa il 10% dei crash di Firefox può essere attribuito a bit flip, ovvero cambiamenti involontari nella memoria, piuttosto che a errori software. Questi bit flip possono essere causati da raggi cosmici, attacchi Rowhammer o, più frequentemente, componenti elettronici difettosi.
Nell'ultima settimana, Mozilla ha ricevuto circa 470.000 report di crash da utenti che hanno acconsentito alla segnalazione. Di questi, circa 25.000 sembrano essere potenziali bit flip. Svelto ha osservato che, sottraendo i crash causati da esaurimento delle risorse, la proporzione di crash attribuibili a hardware sale al 15%. La documentazione cita anche una ricerca Google del 2009 che rilevava tassi di errori DRAM nei data center "ordini di grandezza superiori a quanto precedentemente riportato".
Raccomandazioni per utenti e sviluppatori
⬆ Torna suPer gli utenti finali e le aziende, la raccomandazione è aggiornare prontamente: chi non ha ancora installato Firefox 148 o versioni successive dovrebbe pianificare il deployment non appena l'ambiente lo consente, e monitorare gli avvisi di Mozilla per le patch rimanenti.
La combinazione di rilevamento accelerato tramite AI e triage umano sta emergendo come pattern pragmatico per software su cui milioni di utenti contano quotidianamente. Firefox è stato progressivamente integrando Rust per eliminare intere categorie di hazard di memoria, e Mozilla è nota per l'uso intensivo di fuzzing, sanitizer e revisione del codice. Anche in questo contesto, un passaggio assistito da AI può far emergere casi limite nuovi e assunzioni trascurate, particolarmente in sottosistemi complessi come il motore JavaScript.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suL'impiego di sistemi avanzati per l'analisi del codice segnala un cambiamento nel modo in cui le organizzazioni affrontano la sicurezza software. La capacità di scansionare migliaia di file in tempi brevi offre opportunità ma solleva anche interrogativi sulla gestione dei report.
- Scenario 1: L'automazione del rilevamento potrebbe diventare standard per progetti complessi, con team dedicati alla validazione delle segnalazioni.
- Scenario 2: I manutentori di progetti open source con risorse limitate potrebbero trovarsi sotto pressione da un volume crescente di report da triare.
- Scenario 3: Il divario tra capacità di identificazione e sfruttamento delle vulnerabilità potrebbe ridursi, richiedendo anticipazioni nelle strategie difensive.
Cosa monitorare
⬆ Torna su- L'adozione di metodi simili da parte di altri vendor browser e progetti open source.
- L'evoluzione degli strumenti automatizzati per la verifica riproducibile delle scoperte.
- Lo sviluppo di linee guida per gestire l'affaticamento da revisione nei team più piccoli.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.thurrott.com/cloud/web-browsers/mozilla-firefox/333467/mozilla-partners-with-anthropic-to-better-secure-firefox
- https://www.newsbytesapp.com/news/science/mozilla-fixes-22-security-flaws-flagged-by-anthropic-s-ai/story
- https://www.theregister.com/2026/03/06/firefox_bugs_anthropic_ai/
- https://www.findarticles.com/claude-finds-22-firefox-vulnerabilities-in-two-weeks/
- https://techcrunch.com/2026/03/06/anthropics-claude-found-22-vulnerabilities-in-firefox-over-two-weeks/
- https://mezha.net/eng/bukvy/anthropic_and_mozilla/
- https://oodaloop.com/briefs/technology/anthropics-ai-hacked-the-firefox-browser-it-found-a-lot-of-bugs/
In breve
- vulnerabilita
- anthropic
- cybersecurity
- opensource