Quando Mozilla e Anthropic decidono di lavorare insieme sulla sicurezza di Firefox, il risultato è qualcosa che merita attenzione. Non tanto per il clamore tecnologico, quanto per ciò che significa concretamente: un modello di intelligenza artificiale come Claude Opus 4.6 ha analizzato il codice del browser e ha scovato 22 vulnerabilità di sicurezza in appena due settimane. Di queste, ben 14 sono state classificate come a gravità elevata. Per chiunque utilizzi Firefox ogni giorno, magari per accedere alla banca online o gestire il proprio lavoro, non è un dettaglio trascurabile.
Firefox: com’è nato il progetto che include Claude
Tutto è cominciato in modo quasi casuale. Alcune segnalazioni di bug nel motore JavaScript di Firefox hanno convinto Mozilla ad approfondire il rapporto con Anthropic. All’inizio Claude Opus 4.6 è stato messo alla prova su vulnerabilità già note e risolte, un po’ come un esame prima di passare alle cose serie. Superato quel test, il modello è stato puntato sull’attuale base di codice sorgente: circa 6.000 file C++, una mole enorme che rende la revisione manuale completa praticamente impossibile nei tempi normali di sviluppo.
Il risultato complessivo parla chiaro: 112 vulnerabilità individuate in totale, di cui le famose 22 legate alla sicurezza e altri 90 bug aggiuntivi. Quasi tutti già sistemati dai tecnici di Mozilla. In almeno un caso, come riportato dal Wall Street Journal, il modello ha segnalato una falla in meno di 20 minuti dall’avvio dell’analisi. Un tempo che dice molto su quanto l’automazione possa velocizzare le fasi più ripetitive del lavoro di chi controlla il codice. Le correzioni sono poi confluite in Firefox 148, la versione che ha integrato tutte le patch necessarie.
Trovare falle costa meno che sfruttarle
C’è un aspetto particolarmente interessante emerso da questo esperimento. Anthropic ha verificato anche se Claude Opus 4.6 fosse capace di scrivere un exploit, cioè quel tipo di codice che sfrutta attivamente una vulnerabilità per fare danni. Il modello ci è riuscito solo in due casi, con un costo di circa 4.000 dollari in crediti API. Tradotto: è molto più bravo a trovare i problemi che a costruire strumenti per sfruttarli. E soprattutto, il costo per la ricerca dei bug risulta di un ordine di grandezza inferiore rispetto a quello necessario per generare un exploit funzionante.
Questa asimmetria economica è il dato che conta davvero. Se strumenti come Claude Opus 4.6 restano più efficienti e meno costosi nel rafforzare il codice rispetto allo sviluppo di attacchi, allora l’AI diventa un alleato concreto per chi difende il software, senza offrire automaticamente lo stesso vantaggio a chi cerca di violarlo.
