Claude Code e Firefox: quando l'IA scova vulnerabilità critiche (e ne subisce a sua volta)

La partnership Mozilla-Anthropic: 22 vulnerabilità in 14 giorni

A inizio marzo 2026, Anthropic e Mozilla hanno annunciato una collaborazione senza precedenti nel campo della sicurezza informatica. Il modello Claude Opus 4.6, utilizzato attraverso Claude Code, ha analizzato il codice sorgente di Firefox per due settimane, scandagliando quasi 6.000 file C++ e producendo 112 report di bug unici.

Il risultato: 22 vulnerabilità confermate, di cui 14 classificate come “high-severity” da Mozilla — circa un quinto di tutte le vulnerabilità ad alta gravità corrette in Firefox nel corso del 2025.

Come funzionava il bug hunting automatizzato

Claude ha iniziato l’analisi dal motore JavaScript di Firefox, per poi espandersi al resto del codebase. Il primo bug — una vulnerabilità di tipo Use After Free nella gestione della memoria — è stato identificato dopo appena 20 minuti di analisi. Dopo la conferma del primo bug, Claude aveva già scoperto 50 ulteriori crash input.

Il processo era strutturato in fasi:

1. Scansione automatica del codice C++ con Claude Opus 4.6
2. Validazione indipendente dei bug in macchine virtuali isolate
3. Conferma da parte di ricercatori Anthropic aggiuntivi
4. Submission a Mozilla tramite Bugzilla con descrizione, test case minimali e patch proposte

Mozilla ha successivamente suggerito di passare a submission in blocco senza validazione individuale, segno dell’alta affidabilità dei report.

La CVE più critica: CVE-2026-2796 (CVSS 9.8)

Tra le vulnerabilità scoperte spicca la CVE-2026-2796, con un punteggio CVSS di 9.8 (critico). Si tratta di una miscompilazione JIT (Just-In-Time) nel componente JavaScript WebAssembly di Firefox.

Claude non si è limitato a trovare il bug: ha anche sviluppato un exploit funzionante, sebbene questo funzioni solo in ambienti di test privi delle protezioni di sicurezza moderne dei browser (sandboxing).

Statistiche sugli exploit

• Centinaia di tentativi di generazione exploit
• Solo 2 exploit riusciti su centinaia di tentativi
• $4.000 in crediti API spesi per i test

La conclusione di Anthropic: “Il costo per identificare le vulnerabilità è inferiore a quello per sfruttarle, e il modello è migliore nel trovare problemi che nello sfruttarli.”

Riepilogo delle vulnerabilità scoperte

I 90 bug aggiuntivi e le classi di errori inedite

Oltre ai 22 CVE, sono stati scoperti 90 bug aggiuntivi di gravità minore, tra cui assertion failure e — dato più significativo — classi distinte di errori logici che i fuzzer tradizionali non avevano mai individuato. Questo dimostra che l’approccio basato su LLM è complementare, e non semplicemente sostitutivo, delle tecniche di sicurezza tradizionali.

La maggior parte delle correzioni è stata implementata in Firefox 148.0, distribuita a centinaia di milioni di utenti.

Il rovescio della medaglia: le vulnerabilità di Claude Code stesso

Mentre Claude scopriva bug in Firefox, Check Point Research ha scoperto vulnerabilità critiche nello stesso Claude Code, documentate in due CVE principali.

CVE-2025-59536 — Remote Code Execution tramite Hooks

Gli Hooks di Claude Code sono comandi shell che si attivano in momenti specifici del ciclo di vita dell’applicazione, definiti nel file .claude/settings.json del repository. Un attaccante poteva inserire comandi malevoli con trigger come SessionStart: clonando il repository ed eseguendo Claude Code, gli Hooks si attivavano automaticamente senza conferma dell’utente, consentendo l’esecuzione di shell arbitraria e potenzialmente una reverse shell.

CVE-2026-21852 — Furto di chiavi API tramite ANTHROPIC_BASE_URL

La variabile ANTHROPIC_BASE_URL, configurabile tramite .claude/settings.json, poteva essere reindirizzata verso un server controllato dall’attaccante. Ogni richiesta API iniziale includeva l’header di autorizzazione con la chiave API in chiaro. L’impatto era devastante:

• Furto diretto della chiave API Anthropic
• Accesso ai Workspace di Claude, contenenti file condivisi tra sviluppatori
• Possibilità di accedere ai file di interi team

Bypass del consenso utente tramite MCP

Attraverso il protocollo Model Context Protocol, configurato in .mcp.json, un attaccante poteva bypassare completamente il dialogo di conferma. Come documentato da Check Point: “il comando veniva eseguito immediatamente all’avvio di Claude, prima ancora che l’utente potesse leggere il dialogo di trust.”

Vettori di attacco nella supply chain

Queste vulnerabilità sfruttavano canali di sviluppo considerati affidabili:

• Pull request malevoli con configurazioni compromesse nascoste tra codice legittimo
• Repository “honeypot” che sembravano strumenti utili ma contenevano payload dannosi
• Repository aziendali interni compromessi che colpivano interi team

Tutte le vulnerabilità sono state corrette da Anthropic prima della pubblicazione, con l’implementazione di dialoghi di avvertimento migliorati e il rinvio delle operazioni di rete fino al completamento della verifica del trust.

Conclusioni

La vicenda illustra una dualità affascinante: da un lato, Claude Opus 4.6 si dimostra uno strumento straordinariamente efficace nel trovare vulnerabilità zero-day in software complesso come Firefox; dall’altro, lo stesso ecosistema Claude Code presentava falle critiche sfruttabili attraverso la supply chain dello sviluppo software.

Anthropic dichiara di aver già individuato oltre 500 vulnerabilità zero-day in software open source, segnalando che l’era del bug hunting assistito dall’IA è solo all’inizio.

Fonti

• Anthropic — Partnering with Mozilla to improve Firefox’s security
• TechCrunch — Anthropic’s Claude found 22 vulnerabilities in Firefox
• The Hacker News — Anthropic Finds 22 Firefox Vulnerabilities
• Mozilla Blog — Hardening Firefox with Anthropic’s Red Team
• Check Point Research — RCE and API Token Exfiltration Through Claude Code
• Dark Reading — Flaws in Claude Code Put Developers’ Machines at Risk