Quando si parla di intelligenza artificiale applicata alla sicurezza informatica, i risultati possono essere sorprendenti. Lo dimostra un esperimento condotto da Anthropic insieme a Mozilla, che ha messo alla prova il modello Claude Opus 4.6 su uno dei codebase più storici del web: quello di Firefox. E quello che ne è uscito ha colto di sorpresa un po’ tutti.
Il concetto è semplice nella sua audacia: prendere milioni di righe di codice sorgente e darle in pasto a un’IA chiedendole di scovare vulnerabilità e falle. Claude ci ha messo circa venti minuti per individuare la prima. Venti minuti. A quel punto Mozilla ha chiesto ad Anthropic di proseguire, e le analisi sono andate avanti per due settimane piene.
Numeri che fanno riflettere
Il bilancio finale racconta una storia piuttosto eloquente. Claude ha individuato oltre 100 bug, di cui 14 classificati con un livello di gravità alto. Non critico, che rappresenta il gradino peggiore, ma comunque alto. Per dare un termine di paragone concreto: nell’intero 2025, Mozilla ha corretto 73 vulnerabilità tra livello critico e alto. Significa che il modello di Anthropic, in sole due settimane, ha segnalato più bug ad alta gravità di quanti ne arrivino normalmente dall’intera community di Firefox in circa due mesi.
Dettaglio fondamentale: tutti questi risultati sono stati validati e confermati dal team di sviluppatori di Mozilla. Non si tratta di segnalazioni generiche o approssimative, ma di problemi reali verificati da esseri umani. E questo aspetto diventa cruciale quando si guarda al quadro più ampio.
Il problema dei bug bounty nell’era dell’IA generativa
Nel mondo della cybersicurezza, uno degli strumenti più consolidati per scovare falle sono i programmi cosiddetti di “bug bounty”. Funzionano così: gli sviluppatori pagano ricercatori esterni e indipendenti per ogni vulnerabilità scoperta, con premi che variano in base alla gravità e ad altri parametri. Mozilla ne ha uno attivo da tempi quasi leggendari, da quando Firefox si chiamava ancora Netscape Navigator.
Il punto è che la diffusione massiccia dell’IA generativa sta creando un effetto collaterale non trascurabile. Le segnalazioni arrivano a fiumi, ma come spesso accade con i contenuti generati dall’intelligenza artificiale, la qualità è molto variabile. Tante sono imprecise, alcune completamente sballate. Alcuni progetti più piccoli hanno addirittura deciso di chiudere i loro programmi di ricompensa perché il tempo speso a verificare segnalazioni non valide superava di gran lunga il beneficio ricavato da quelle corrette.
Ed è proprio qui che l’esperimento di Anthropic e Mozilla acquista un significato diverso. Se un modello come Claude riesce a produrre segnalazioni affidabili, validate al cento per cento da sviluppatori in carne e ossa, allora forse si apre una strada concreta per rendere i bug bounty più efficienti anziché soffocarli sotto una valanga di rumore. Non è la soluzione a tutto, ovviamente. Ma è un segnale che vale la pena tenere d’occhio, soprattutto per chi lavora ogni giorno sulla sicurezza del software e sa quanto sia prezioso il tempo speso a separare i problemi veri dai falsi allarmi.
