Mozilla ha confermato un dato che sta attirando grande attenzione nel settore della sicurezza informatica: l’uso di modelli di intelligenza artificiale avanzata, in particolare Claude Mythos Preview sviluppato da Anthropic, ha permesso di individuare 271 vulnerabilità in Firefox.
Un numero significativo, soprattutto considerando che si tratta di un browser sottoposto da anni a revisione continua, sia interna che esterna.
Il caso non riguarda soltanto la quantità dei bug individuati, ma soprattutto la qualità e la precisione con cui l’IA è riuscita a identificarli rispetto agli strumenti tradizionali.
Da falsi positivi a vulnerabilità reali
Secondo Mozilla, le prime sperimentazioni con modelli di linguaggio come GPT-4 e Sonnet 3.5 avevano prodotto risultati poco affidabili. In molti casi, i sistemi generavano segnalazioni plausibili ma non verificabili, aumentando il carico di lavoro dei team di sicurezza senza portare benefici concreti.
Il problema principale era la presenza di numerosi falsi positivi: segnalazioni che sembravano vulnerabilità reali, ma che in realtà non erano riproducibili o non rappresentavano un rischio effettivo.
Con Claude Mythos Preview, però, l’approccio è cambiato radicalmente.
Claude Mythos e l’approccio “agentic fuzzing”
Mozilla ha integrato il modello in una pipeline basata su tecniche di fuzzing avanzato, creando un sistema in grado non solo di individuare potenziali problemi, ma anche di generare test riproducibili e verificabili.
Questo approccio ha permesso di ridurre drasticamente il “rumore” delle segnalazioni e concentrarsi esclusivamente su vulnerabilità reali, confermate tramite esecuzioni controllate.
Il sistema è stato descritto come un passaggio da una semplice analisi probabilistica del codice a una verifica attiva dei comportamenti anomali.
Tipologie di vulnerabilità scoperte
Le 271 vulnerabilità individuate da Claude Mythos non riguardano solo componenti marginali, ma aree centrali dell’architettura del browser. Tra queste:
- WebAssembly e garbage collection;
- motore JavaScript JIT;
- IPC (Inter-Process Communication);
- IndexedDB;
- WebTransport e DNS;
- sistemi di sandboxing;
- gestione delle tabelle HTML e parsing.
Molti di questi bug includevano condizioni come use-after-free, accessi fuori dai limiti della memoria e potenziali leak di informazioni sensibili.
Secondo Mozilla, alcune vulnerabilità erano presenti nel codice da oltre 15-20 anni, pur rimanendo non rilevate fino ad oggi.
Impatto delle correzioni in Firefox
Le vulnerabilità identificate sono state corrette nella versione 150 di Firefox. La distribuzione delle criticità è la seguente:
- 180 bug ad alta severità;
- 80 bug a severità media;
- 11 bug a bassa severità.
In totale, nel solo mese di aprile, Mozilla ha risolto 423 problemi di sicurezza considerando anche segnalazioni interne, strumenti di fuzzing tradizionali e contributi esterni.
Un risultato che ha richiesto il lavoro coordinato di oltre 100 persone tra ingegneri, ricercatori e team di sicurezza.
La difesa multi-livello di Firefox
Mozilla ha sottolineato un punto fondamentale: la presenza di un bug ad alta severità non implica automaticamente la possibilità di un exploit immediato.
Firefox utilizza infatti un’architettura di difesa in profondità che include:
- sandboxing dei processi;
- mitigazioni a livello di sistema operativo;
- isolamento delle componenti critiche.
Per sfruttare molte di queste vulnerabilità, un attaccante dovrebbe concatenare più exploit contemporaneamente, riducendo così il rischio reale per l’utente finale.
L’IA cambia il paradigma della sicurezza software
Il dato più significativo non è solo il numero di vulnerabilità trovate, ma il cambiamento di approccio introdotto dall’IA.
Claude Mythos non si limita a suggerire aree sospette del codice, ma è in grado di:
- generare scenari di test coerenti;
- verificare la riproducibilità dei bug;
- eliminare segnalazioni speculative;
- concentrarsi su exploit potenzialmente reali.
Questo sposta il ruolo dell’intelligenza artificiale da semplice strumento di analisi a componente attiva nei processi di sicurezza.
Un nuovo scenario per industria e cybersecurity
Il caso Firefox evidenzia un trend più ampio: l’adozione di modelli AI avanzati nella ricerca di vulnerabilità potrebbe rivoluzionare la sicurezza del software moderno.
Settori come finanza, cloud e infrastrutture critiche sono particolarmente esposti, poiché sistemi complessi e stratificati potrebbero nascondere bug non rilevati per anni.
La capacità di individuare queste falle su larga scala potrebbe accelerare enormemente il ciclo di patching, ma anche aumentare la pressione sui team di sviluppo.
Un cambio di equilibrio ancora in evoluzione
Mozilla mantiene un approccio cauto, ma riconosce che l’intelligenza artificiale sta già modificando profondamente il modo in cui vengono individuati e risolti i problemi di sicurezza.
Il caso di Claude Mythos segna quindi un punto di svolta: non solo più bug scoperti, ma un metodo completamente nuovo di esplorare il codice, più rapido, più sistematico e potenzialmente molto più invasivo rispetto alle tecniche tradizionali.
HW Legend Staff
