Firefox 150 corregge 271 vulnerabilità grazie all'AI di Anthropic: come cambia la sicurezza dei browser

Quando Mozilla ha rilasciato Firefox 150 questa settimana, insieme alle nuove funzionalità ha incluso patch per 271 vulnerabilità nel codice sorgente del browser. Non è un numero casuale: ogni una di queste falle è stata identificata da Claude Mythos, il modello di intelligenza artificiale sviluppato da Anthropic specificamente per trovare bug di sicurezza. Per capire l'entità del salto, basta guardare al precedente: con Claude Opus 4.6, il modello usato due mesi prima, Mozilla aveva trovato e corretto 22 vulnerabilità in Firefox 148. Dodici volte di più in una sola valutazione.

Chi

Anthropic è la società che ha sviluppato Claude Mythos, un modello AI specializzato nell'analisi di codice per scoprire vulnerabilità di sicurezza. A inizio aprile 2026, Anthropic ha lanciato Project Glasswing, un programma ristretto che offre accesso anticipato a Mythos a 50 partner selezionati—tra cui Apple, Cisco, Google, Microsoft e NVIDIA—per testare il modello sui loro prodotti critici prima di una pubblicazione più ampia. Mozilla è tra questi partner.

Cosa è successo

La collaborazione tra Mozilla e Anthropic è iniziata a febbraio 2026 con Claude Opus 4.6. In circa due settimane, quel modello aveva identificato 22 vulnerabilità sensibili nel codice di Firefox, tutte corrette in Firefox 148. Il risultato era già notevole, ma Mozilla ha continuato a lavorare con Anthropic e ha ottenuto accesso a una versione preview di Claude Mythos.

L'applicazione di Mythos al codice sorgente di Firefox ha prodotto 271 vulnerabilità identificate. Tutte le relative patch sono state incluse in Firefox 150, rilasciato il 22 aprile 2026. Bobby Holley, Chief Technology Officer di Firefox, ha dichiarato che il modello è ormai comparabile ai migliori ricercatori di sicurezza nel ragionare sulla logica del codice sorgente, soprattutto nelle aree dove i test automatici tradizionali (fuzzing) coprono meno terreno.

Una precisazione importante: Holley non ha specificato il livello di gravità di tutte le 271 vulnerabilità. Non sono necessariamente tutte critiche, ma rappresentano comunque falle reali nel codice che avrebbero potuto essere sfruttate da chi le scoprisse per primo.

Perché è importante

Per decenni, la sicurezza informatica ha favorito gli attaccanti. Un singolo bug non rilevato è sufficiente a compromettere un sistema; i difensori, invece, devono proteggere tutto. Mozilla ha sempre preso la sicurezza sul serio—usa il linguaggio Rust per mitigare alcune classi di vulnerabilità, esegue ogni sito in una sandbox separata, implementa più livelli di protezione—ma anche i migliori team non potevano ispezionare ogni riga di codice con la stessa profondità.

Ciò che cambia con Claude Mythos è la scala. Non è un potere magico che scopre categorie di difetti completamente nuove, come ha sottolineato lo stesso team di Mozilla. Piuttosto, accelera drasticamente il costo (in tempo e risorse) per trovarli. Per la prima volta, i difensori hanno uno strumento che può analizzare massicce quantità di codice, ragionare sulla sua logica e individuare errori complessi che in passato avrebbero richiesto settimane di revisione manuale.

Questo ribalta l'equilibrio storico. Se l'AI riuscirà a rendere scalabile la scoperta delle vulnerabilità per chi difende, gli attaccanti non potranno più contare su una superiorità strutturale. Non significa che la sicurezza diventi semplice—rimane una sfida complessa—ma per la prima volta i difensori hanno una reale possibilità di vincere in modo decisivo.

Il precedente più vicino è il passaggio dai test manuali ai fuzzer automatici negli anni 2000, che ha moltiplicato la capacità di trovare bug. Mythos rappresenta un salto simile, ma con un'intelligenza che ragiona sulla semantica del codice, non solo sui suoi input.

Cosa aspettarsi

Nei prossimi mesi, osserva tre indicatori:

  1. Reazioni degli altri browser: Chrome, Safari ed Edge seguiranno l'esempio di Mozilla? Google ha accesso a Mythos tramite Project Glasswing (è tra i 50 partner). Se anche loro iniziano a pubblicare patch in massa, la tendenza sarà confermata.

  2. Roadmap di Anthropic per Mythos: Quando Mythos uscirà dalla fase preview? Sarà disponibile per sviluppatori di software critico al di fuori del programma Glasswing? La velocità di diffusione determinerà quanto rapidamente la difesa può scalare.

  3. Risposta della comunità di sicurezza: Alcuni ricercatori di sicurezza potrebbero temere che Mythos, nelle mani sbagliate, diventi uno strumento per trovare vulnerabilità da sfruttare, non solo da correggere. Anthropic ha già dichiarato che il modello è così efficace che la sua pubblicazione senza restrizioni potrebbe "scatenare il caos". Osserva come il dibattito pubblico evolve e se emergono richieste di regolamentazione.

  4. Numero di zero-day in natura: Se Mythos funziona davvero, il numero di vulnerabilità zero-day (sconosciute ai difensori) dovrebbe diminuire nel tempo. È il vero test di efficacia.

Mozilla ha detto chiaramente che il lavoro non è finito, ma che il team ha "girato l'angolo" e intravede un futuro migliore di quello di stare al passo con gli attaccanti. Per gli utenti di Firefox, significa che il browser diventa più sicuro, non domani, ma oggi: Firefox 150 è già disponibile.

📰 Fonti

  1. Punto InformaticoFirefox 150: Claude Mythos trova 271 vulnerabilità
  2. wired.itClaude Mythos ha aiutato Mozilla a correggere 271 vulnerabilità di Firefox | Wired Italia
  3. punto-informatico.itFirefox 150: Claude Mythos trova 271 vulnerabilità - Punto Informatico
  4. macitynet.itMozilla ha sfruttato Mythos di Claude per sistemare 271 vulnerabilità in Firefox - macitynet.it
  5. tomshw.itFirefox 150 chiude 271 falle trovate da Mythos - Tom's Hardware
  6.