Firefox ha trovato 271 bug con l'AI di Anthropic: ecco come cambia la sicurezza dei browser

Quando apri Firefox per controllare la posta o navigare sui social, non pensi ai bug che potrebbero nascondersi nel codice del browser. Mozilla, invece, ci pensa costantemente. E da qualche mese ha un aiuto nuovo: Mythos, il modello AI di Anthropic, che ha scoperto e fatto correggere 271 vulnerabilità di sicurezza nella versione 150 del browser, rilasciata questa settimana. Non sono bug esotici o teorici: sono difetti reali che avrebbero potuto essere sfruttati da chi volesse attaccare il tuo browser. E nessun team umano avrebbe potuto trovarli così velocemente.

Chi — Anthropic e Mozilla

Anthropicè l'azienda dietro Claude, uno dei modelli di intelligenza artificiale più avanzati al mondo. Mythos Preview è una versione sperimentale ancora più potente, distribuita in accesso limitato attraverso il programma Project Glasswing. Mozilla è l'organizzazione no-profit che sviluppa Firefox, il browser open source usato da milioni di persone. La collaborazione tra le due è iniziata a febbraio 2026, quando Mozilla ha iniziato a usare Claude Opus 4.6 (il modello precedente di Anthropic) per analizzare il codice di Firefox.

Cosa è successo

La storia inizia modestamente. A febbraio, il team di sicurezza di Mozilla ha usato Claude Opus 4.6 per scansionare quasi 6.000 file C++ del codice di Firefox. Risultato: 112 segnalazioni uniche, di cui 22 confermate come bug di sicurezza. Quattordici di questi erano classificati come "alta gravità", rappresentando quasi un quinto di tutte le vulnerabilità ad alta gravità corrette da Mozilla nel 2025.

Poi è arrivato Mythos Preview. Il risultato ha lasciato il team di Mozilla con quello che Bobby Holley, il chief technology officer di Firefox, ha descritto come "vertigine": 271 vulnerabilità confermate. Più di dodici volte il numero trovato con il modello precedente.

Secondo il racconto di Wired, Holley ha dichiarato che il team ha dovuto "prendere risorse e disciplina per adattarsi al flusso incessante di bug che i nuovi strumenti AI possono scoprire". Mozilla ha pubblicato un post intitolato "The zero-days are numbered" ("I giorni zero sono numerati"), sottolineando che nessuno di questi bug era qualcosa che un ricercatore umano d'élite non avrebbe potuto trovare in teoria. La differenza è che nessun team umano potrebbe trovarne 271 in questo lasso di tempo.

Mozilla ha già corretto tutte le 271 vulnerabilità in Firefox 150, rilasciato questa settimana.

Perché è importante

Questa notizia tocca un punto cruciale della sicurezza informatica contemporanea: per anni, i difensori (chi sviluppa software) e gli attaccanti hanno avuto accesso agli stessi strumenti. Fuzzing automatico, analisi manuale, reverse engineering. Il vantaggio dei difensori era la velocità e le risorse: potevano correggere i bug prima che gli attaccanti li sfruttassero.

Ma gli strumenti AI come Mythos cambiano l'equilibrio. "I computer erano completamente incapaci di farlo pochi mesi fa, e ora eccellono", ha scritto Holley. "Abbiamo molti anni di esperienza nell'analizzare il lavoro dei migliori ricercatori di sicurezza del mondo, e Mythos Preview è altrettanto capace."

Questo ha due implicazioni immediate:

Per i difensori: trovare i bug diventa più economico e veloce. Se tutti i software dovessero passare per una scansione AI come questa, la sicurezza complessiva aumenterebbe drammaticamente. Holley ha detto che "ogni pezzo di software dovrà affrontare questo tipo di analisi assistita da AI, perché ogni software ha molti bug sepolti che ora sono scopribili".

Per gli attaccanti: gli stessi strumenti saranno presto disponibili anche a loro. Anthropic e OpenAI hanno annunciato nuovi modelli AI con capacità avanzate di cybersecurity, ma per ora li distribuiscono in accesso limitato. Tuttavia, è solo una questione di tempo prima che modelli simili diventino pubblici o che gli attaccanti sviluppino le loro versioni.

C'è un'altra implicazione ancora più delicata: i progetti open source. Raffi Krikorian, CTO di Mozilla, ha scritto sul New York Times che il programmatore che ha dedicato 20 anni a mantenere codice open source usato da miliardi di persone "non ha ancora accesso a Mythos. Dovrebbe averlo". Perché? Perché il codice open source è pubblico e quindi più facile da analizzare per un'AI alla ricerca di vulnerabilità, ma molti progetti open source hanno risorse di manutenzione insufficienti.

Cosa aspettarsi

Le domande aperte sono molte:

Quando Mythos sarà disponibile più ampiamente? Per ora è in accesso limitato tramite Project Glasswing. Mozilla ha avuto un "vantaggio iniziale", ma altri software dovranno aspettare il loro turno o sviluppare partnership simili.

Gli attaccanti avranno presto accesso a strumenti equivalenti? Holley ha detto di essere "fiducioso" che Firefox abbia "arrotondato la curva" grazie al vantaggio iniziale, ma è una scommessa. Modelli più avanzati di Mythos potrebbero trovare bug che i modelli attuali perdono.

Come cambierà il ciclo di sviluppo del software? Se ogni rilascio deve passare per una scansione AI, i tempi di sviluppo potrebbero allungarsi. Mozilla ha già sottolineato che gestire il "flusso incessante" di bug richiede risorse.

Quali saranno le conseguenze per la sicurezza globale? Nel breve termine, questo potrebbe significare software più sicuro. Nel lungo termine, dipende da chi avrà accesso a questi strumenti e quanto velocemente potranno essere democratizzati tra i manutentori di progetti critici.

L'esperimento di Mozilla non è una soluzione definitiva, ma una prova che l'era in cui i bug di sicurezza potevano rimanere nascosti per anni sta finendo. La domanda non è più "se" l'AI troverà questi difetti, ma "quando" e "chi" avrà accesso agli strumenti per farlo.