Claude di Anthropic scopre 22 vulnerabilità in Firefox: la collaborazione con Mozilla
Il modello Claude Opus 4.6 ha identificato 112 bug nel browser Mozilla, tra cui 22 vulnerabilità di sicurezza con 14 classificate ad alta severità. Le correzio…
Contenuto
Scopri anche
- OpenAI conquista il Pentagono, Anthropic lancia Claude Code Security per la difesa informatica
- L'AI smaschera gli anonimi: uno studio dimostra che gli LLM identificano il 68% degli utenti
- Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
- Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi
- OpenAI sostituisce Anthropic nelle forniture al Pentagono: accordo da miliardi e scontro etico sull'IA militare
- Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
- Certificazione NATO per iPhone e le minacce digitali: sicurezza e attacchi
- Anthropic e il Pentagono: lo scontro sul controllo dell'intelligenza artificiale militare
- Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
- OpenAI rilascia GPT-5.3 Instant: conversazioni più dirette e riduzione degli errori per ChatGPT
- Il ritorno delle CPU nei data center: l'infrastruttura server nell'era dell'AI agente
- Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati
- Samsung Galaxy: aggiornamenti sicurezza 2026 e rilascio One UI 8 con funzioni AI
- Claude supera ChatGPT nell'App Store USA dopo il rifiuto di Anthropic a collaborare con il Pentagono
- iOS 26.3.1: Apple prepara l'aggiornamento di manutenzione per iPhone
- L'intelligenza artificiale può replicare la personalità umana con due ore di conversazione
- Vulnerabilità software e cybersecurity: come proteggersi dagli attacchi informatici
- OpenAI sostituisce Anthropic nei contratti militari USA: lo scontro sui limiti dell'IA bellica
- Samsung Galaxy: aggiornamenti sicurezza febbraio 2026 per serie S24, S23 ed S25
- Ford richiama oltre 4 milioni di veicoli per vulnerabilità software nel modulo rimorchio
Claude di Anthropic scopre 22 vulnerabilità in Firefox: la collaborazione con Mozilla
Mozilla e Anthropic hanno annunciato una partnership per migliorare la sicurezza e la stabilità del browser Firefox. L'iniziativa ha portato alla scoperta di 112 bug, di cui 22 vulnerabilità di sicurezza, attraverso l'impiego del modello di intelligenza artificiale Claude Opus 4.6. Le correzioni sono state già distribuite con Firefox 148, rilasciato il 24 febbraio.
Il contesto della collaborazione
⬆ Torna suSecondo quanto riportato dagli ingegneri Mozilla Brian Grinstead e Christian Holler, Anthropic ha contattato il team di Firefox alcune settimane fa con i risultati di un nuovo metodo di rilevamento delle vulnerabilità assistito da IA. A differenza dei precedenti report generati da sistemi automatizzati, che spesso includevano falsi positivi e richiedevano lavoro non necessario, i risultati di Anthropic si sono distinti per qualità e precisione.
I report di Anthropic erano incentrati sul motore JavaScript di Firefox e includevano casi di test minimizzati per aiutare Mozilla a verificare e riprodurre rapidamente ogni problema. I risultati sono stati considerati talmente positivi che le due organizzazioni hanno avviato una collaborazione sull'intero codebase del browser entro poche ore.
I risultati tecnici dell'analisi
⬆ Torna suClaude Opus 4.6 ha analizzato quasi 6.000 file C++ del codice sorgente di Firefox, inviando un totale di 112 segnalazioni uniche. Di queste, 14 sono state classificate come bug ad alta severità, con conseguente emissione di 22 CVE (Common Vulnerabilities and Exposures). Tutte le vulnerabilità di sicurezza identificate sono state corrette nell'ultima versione del browser. Oltre ai 22 bug sensibili per la sicurezza, Anthropic ha individuato altri 90 bug, la maggior parte dei quali è stata già risolta.
Secondo quanto riporta Punto Informatico, una vulnerabilità è stata scoperta in meno di 20 minuti. In due settimane di gennaio, il modello ha individuato 22 vulnerabilità di sicurezza, pari quasi a un quinto di tutte quelle rilevate nel 2025.
La metodologia di analisi
⬆ Torna suIl team di Anthropic ha concentrato inizialmente l'analisi sul motore JavaScript, per poi estenderla ad altri componenti del codebase. La scelta di Firefox come obiettivo non è casuale: secondo Anthropic, si tratta di un codebase complesso e allo stesso tempo uno dei progetti open source più testati e sicuri al mondo, rendendolo un benchmark rigoroso per il testing assistito da IA.
La documentazione indica che Firefox è stato progressivamente integrato con Rust per eliminare intere categorie di problemi di memoria, e Mozilla è nota per l'uso intensivo di fuzzing, sanitizer e revisione del codice. Anche in questo contesto, un'analisi assistita da IA ha potuto identificare casi limite nuovi e assunzioni trascurate, particolarmente in sottosistemi ampi come il motore JavaScript.
La capacità di generare exploit
⬆ Torna suUn aspetto significativo emerso dall'analisi riguarda la differenza tra l'identificazione delle vulnerabilità e la creazione di exploit funzionanti. Anthropic ha speso circa 4.000 dollari in crediti API tentando di creare proof-of-concept per le vulnerabilità scoperte, riuscendovi solo in due casi.
Come spiegato dai ricercatori di sicurezza Evyatar Ben Asher, Keane Lucas, Nicholas Carlini, Newton Cheng e Daniel Freeman nel blog post di Anthropic, l'exploit generato da Claude funziona solo all'interno di un ambiente di testing che rimuove intenzionalmente alcune delle funzionalità di sicurezza dei browser moderni. Claude non è ancora in grado di scrivere exploit "full-chain" che combinano più vulnerabilità per sfuggire al sandbox del browser, quelli che causerebbero danni reali.
Tuttavia, Anthropic ha osservato che, considerando il ritmo di progresso, è improbabile che il divario tra la capacità dei modelli di scoprire vulnerabilità e quella di sfruttarle duri a lungo. Se e quando i modelli futuri supereranno questa barriera, sarà necessario considerare salvaguardie aggiuntive per prevenire l'uso improprio da parte di attori malevoli.
Il vantaggio per i difensori
⬆ Torna suSecondo Anthropic, il costo associato alla ricerca delle vulnerabilità è un ordine di grandezza inferiore rispetto a quello necessario per creare exploit. L'uso del modello risulta quindi più conveniente per i difensori rispetto agli attaccanti. Anthropic ha dichiarato di aver identificato oltre 500 vulnerabilità zero-day in software open source utilizzando i suoi modelli IA.
L'intelligenza artificiale rende possibile rilevare vulnerabilità di sicurezza gravi a velocità accelerate. Come parte della collaborazione, Mozilla ha ricevuto numerose segnalazioni, ha contribuito a definire quali tipi di risultati meritassero l'invio di un report e ha distribuito correzioni a centinaia di milioni di utenti con Firefox 148.0.
Le sfide per i progetti open source
⬆ Torna suIl caso evidenzia anche le potenziali sfide che i maintainer di progetti open source con meno risorse potrebbero affrontare man mano che gli strumenti IA generano report più raffinati a un ritmo più elevato. Situazioni di questo tipo potrebbero essere difficili da gestire per team più piccoli con personale di sicurezza limitato.
Per i maintainer open source, la lezione è che l'IA può fungere da moltiplicatore di forza quando viene incanalata correttamente. Stabilire template strutturati per le segnalazioni, richiedere proof-of-concept minimizzati per i report ad alto impatto e utilizzare pipeline CI per riprodurre i risultati può aumentare il segnale e ridurre l'affaticamento nella revisione.
Considerazioni sull'hardware e i crash
⬆ Torna suIn un contesto più ampio legato alla stabilità del browser, l'ingegnere Mozilla Gabriele Svelto ha osservato in un post su Mastodon che circa il 10% dei crash di Firefox può essere attribuito a bit flip, cambiamenti non intenzionali nella memoria causati da raggi cosmici, attacchi Rowhammer o componenti elettronici difettosi, piuttosto che da errori software.
Nell'ultima settimana, Mozilla ha ricevuto circa 470.000 report di crash da utenti Firefox che hanno acconsentito alla segnalazione. Circa 25.000 sembrano essere potenziali bit flip. Svelto ha precisato che, poiché si tratta di un'euristica conservativa, il numero reale è probabilmente sottostimato di almeno il doppio. Se si sottraggono i crash causati da esaurimento delle risorse, la proporzione di crash attribuibili all'hardware sale a circa il 15%.
Guida per utenti e imprese
⬆ Torna suPer gli utenti finali e le imprese, la raccomandazione è di aggiornare tempestivamente. Chi non ha ancora installato Firefox 148 o versioni successive dovrebbe pianificare il deployment non appena l'ambiente lo consentirà, e monitorare gli avvisi di Mozilla per le patch rimanenti.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa collaborazione tra Anthropic e Mozilla apre riflessioni sull'evoluzione del vulnerability disclosure e sulla sostenibilità operativa dei progetti open source di fronte a strumenti di analisi sempre più potenti.
- Scenario 1: i team di sicurezza potrebbero integrare sistematicamente l'analisi automatizzata nei cicli di sviluppo, riducendo la finestra temporale tra scoperta e correzione delle vulnerabilità.
- Scenario 2: i progetti open source con risorse limitate rischiano di essere sopraffatti dalla quantità di segnalazioni generate da strumenti avanzati, con possibili ritardi nella risposta.
- Scenario 3: il divario tra capacità di identificazione e di sfruttamento delle vulnerabilità potrebbe ridursi progressivamente, richiedendo nuove salvaguardie per prevenire usi impropri.
Cosa monitorare
⬆ Torna su- L'evoluzione dei costi associati alla ricerca di vulnerabilità rispetto alla creazione di exploit funzionanti.
- Le eventuali iniziative di Mozilla per strutturare le segnalazioni provenienti da analisi automatizzate.
- L'impatto sulle roadmap di sicurezza di altri browser e progetti open source di larga diffusione.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.thurrott.com/cloud/web-browsers/mozilla-firefox/333467/mozilla-partners-with-anthropic-to-better-secure-firefox
- https://www.newsbytesapp.com/news/science/mozilla-fixes-22-security-flaws-flagged-by-anthropic-s-ai/story
- https://www.theregister.com/2026/03/06/firefox_bugs_anthropic_ai/
- https://www.findarticles.com/claude-finds-22-firefox-vulnerabilities-in-two-weeks/
- https://techcrunch.com/2026/03/06/anthropics-claude-found-22-vulnerabilities-in-firefox-over-two-weeks/
- https://mezha.net/eng/bukvy/anthropic_and_mozilla/
- https://www.punto-informatico.it/claude-opus-4-6-trova-112-bug-mozilla-firefox/
In breve
- vulnerabilita
- anthropic
- ai
- cve