L’AI scopre vulnerabilità critiche: Claude individua 22 bug in Firefox in tempo record
Claude Opus 4.6 ha scoperto 22 vulnerabilità in Firefox in due settimane, di cui 14 critiche. L’AI accelera la sicurezza informatica ma solleva anche nuove sfide.
Le intelligenze artificiali sono abilissime nell’individuare vulnerabilità critiche di software e app. Un lavoro che ai ricercatori richiederebbe mesi di lavoro, ma che le AI possono svolgere molto rapidamente. E’ una risorsa preziosissima per il mondo della sicurezza informatica… ma anche per gli hacker malintenzionati.
Un nuovo esperimento condotto da Anthropic in collaborazione con Mozilla dimostra che i modelli AI più avanzati sono ormai in grado di individuare vulnerabilità critiche in software complessi in tempi estremamente ridotti.
Durante il progetto, il modello Claude Opus 4.6 ha scoperto 22 vulnerabilità nel browser Firefox in sole due settimane, di cui 14 classificate come ad alta gravità. Il risultato rappresenta quasi un quinto di tutte le vulnerabilità critiche corrette nel browser nel corso del 2025.
Vulnerabilità scoperte dall’AI
Secondo i ricercatori, l’AI ha analizzato migliaia di file di codice del browser individuando errori di sicurezza potenzialmente sfruttabili dagli hacker. In totale sono stati esaminati quasi 6.000 file C++, generando 112 segnalazioni di bug uniche.
Uno dei primi problemi individuati è stato scoperto dopo appena venti minuti di analisi. Claude ha identificato una vulnerabilità di tipo “Use After Free”, una falla nella gestione della memoria che può permettere a un attaccante di sovrascrivere dati con codice malevolo.
I ricercatori hanno verificato il bug in una macchina virtuale con l’ultima versione di Firefox prima di segnalarlo ufficialmente al sistema Bugzilla di Mozilla. Insieme alla segnalazione è stata fornita anche una possibile patch generata dallo stesso modello AI.
Nel frattempo il sistema aveva già individuato decine di altri crash potenzialmente legati a vulnerabilità. Alla fine del progetto, molte delle falle scoperte sono state corrette nella versione Firefox 148, mentre le restanti saranno risolte nei prossimi aggiornamenti.
Tra difesa e rischi
Il team di ricerca ha anche voluto capire se l’AI fosse in grado non solo di trovare vulnerabilità, ma anche di sfruttarle per creare veri attacchi informatici. Qualcosa per cui le AI stanno venendo sfruttate sempre più frequentemente dagli hacker di tutto il mondo.
Per questo motivo Claude è stato incaricato di sviluppare exploit a partire dai bug individuati. L’obiettivo era dimostrare un attacco reale leggendo e scrivendo file su un sistema bersaglio, come farebbe un hacker.
Dopo centinaia di tentativi e circa 4.000 dollari di credito API utilizzato nei test, il modello è riuscito a trasformare le vulnerabilità in exploit funzionanti solo in due casi. Questo suggerisce che l’AI è molto più efficace nel trovare bug che nel sfruttarli per attacchi completi. Gli exploit sviluppati funzionavano inoltre soltanto in un ambiente di test semplificato, privo di alcune delle protezioni avanzate presenti nei browser moderni, come il sandboxing.
Nonostante questi limiti, gli esperti sottolineano che il risultato dimostra un punto cruciale: l’intelligenza artificiale potrebbe diventare uno strumento potentissimo sia per i difensori sia per gli attaccanti.
