Le regole del digitale stanno cambiando.
O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.
Contattaci ora →
Un’alleanza tra Anthropic e Mozilla svela 22 vulnerabilità nel browser, ma l’IA fatica a sfruttarle, aprendo interrogativi sul futuro della sicurezza informatica
La collaborazione tra Anthropic e Mozilla ha svelato una nuova frontiera della cybersecurity: l'IA Claude ha identificato 22 vulnerabilità in Firefox in tempi record. Sebbene la scoperta sia stata efficiente, lo sfruttamento delle falle si è rivelato ancora complesso. Questo evento segna un punto di svolta, evidenziando sia il potenziale difensivo dell'IA sia la crescente minaccia che essa rappresenta.
L’intelligenza artificiale che “buca” Firefox: 22 falle scoperte in due settimane
Mettiamoci comodi, perché la notizia è di quelle che fanno pensare.
Anthropic, la società dietro l’intelligenza artificiale Claude, e Mozilla, la fondazione che sviluppa Firefox, hanno unito le forze in una collaborazione che ha portato alla luce ben 22 vulnerabilità di sicurezza nel celebre browser. E non parliamo di bachi di poco conto: 14 di queste, per intenderci, sono state classificate come gravi.
Il dato che lascia a bocca aperta è il tempo impiegato: appena due settimane.
Per darti un’idea, il numero di falle gravi trovate da Claude in 15 giorni equivale a quasi un quinto di tutte quelle risolte da Mozilla nell’intero 2025.
La collaborazione è nata quasi per caso.
Il team di sicurezza di Anthropic ha contattato Mozilla mostrando i risultati di un nuovo metodo di ricerca basato su IA, presentando una serie di bug già verificati e riproducibili. A differenza delle solite segnalazioni generate da automi, spesso piene di falsi positivi che fanno solo perdere tempo, i report di Anthropic erano, come descritto da Mozilla stessa, diversi.
Tanto che, dopo un’analisi iniziale, Mozilla ha chiesto ad Anthropic di inviare tutto il pacchetto di segnalazioni in blocco, senza nemmeno una validazione individuale, per poter agire il più in fretta possibile.
E qui la storia si fa interessante.
La scoperta è più facile (e meno costosa) dello sfruttamento
Ma scoprire una falla è una cosa. Sfruttarla, come ben sa chi si occupa di sicurezza, è tutto un altro paio di maniche. Anthropic ha voluto vederci chiaro e ha messo alla prova la sua stessa creatura: ha chiesto a Claude di provare a creare degli exploit funzionanti per le 22 vulnerabilità che aveva appena scoperto.
Il risultato?
Dopo centinaia di tentativi e circa 4.000 dollari spesi in crediti API, l’IA è riuscita a creare un exploit funzionante solo per due delle ventidue falle, e per di più solo in un ambiente di test controllato, privato di tutte le moderne protezioni come il sandboxing.
Ora, Anthropic la presenta come una buona notizia: stando a quanto dichiarato dall’azienda stessa, al momento costa meno scoprire le vulnerabilità che sfruttarle, dando un vantaggio a chi si difende.
Ma siamo sicuri che sia così semplice?
La stessa Anthropic ammette che, guardando la velocità con cui queste tecnologie progrediscono, questo divario non durerà a lungo.
Un vantaggio che, però, ha tutta l’aria di essere temporaneo.
Un modello di collaborazione o un campanello d’allarme?
Questa vicenda ci lascia con una riflessione importante. Da un lato, abbiamo un esempio virtuoso di collaborazione tra un gigante dell’IA e un baluardo del software open-source.
Le parole di Logan Graham, a capo del team di sicurezza di Anthropic, suonano quasi come una sfida, come riportato su Axios: “Abbiamo scelto Firefox proprio perché è uno dei progetti open-source più sicuri e controllati al mondo. Se Claude riesce a trovare falle qui, significa che le sue capacità sono reali”.
Dall’altro lato, però, è impossibile non vedere l’avvertimento.
Le IA sono diventate cacciatrici di vulnerabilità di prim’ordine e non si limitano a Firefox.
Il fatto che Anthropic stia già espandendo i suoi sforzi e abbia da poco rilasciato un prodotto specifico, Claude Code Security, fa capire che la partita è appena iniziata.
Per gli utenti di Firefox, la soluzione è semplice: aggiornare il browser alla versione 148 o successiva, dove tutte le falle sono già state corrette.
Per tutti gli altri, sviluppatori e aziende in primis, il messaggio è forte e chiaro: c’è una finestra temporale, probabilmente breve, per rafforzare le proprie difese prima che la capacità di sfruttare queste falle raggiunga la stessa, spaventosa, efficienza della loro scoperta.
Scoprire falle che non sai come usare. Mi ricorda quando faccio un’analisi SEO perfetta per un cliente senza budget. Puro esercizio di stile per vendere fumo. Alla fine, resta solo il report da fatturare.
Svelare falle che solo la loro stessa tecnologia può trovare è il capolavoro della paranoia indotta, una mossa geniale per renderci dipendenti dal loro antidoto.
Titolo perfetto per spaventare e vendere consulenze, dovrei prendere appunti per il mio lavoro.
Ventidue falle, zero exploit. Gran bella operazione di marketing. L’IA fa la parte del segugio tenuto al guinzaglio, non del lupo. Una narrativa comoda per tutti. La roba seria, però, si gioca su altri tavoli.
@Renata Bruno, hai sgamato il gioco. Un sacco di fumo per un cane da tartufo che trova le falle ma non sa che farsene. La vera abilità sta nel creare il problema, non nel segnalarlo.
@Beatrice Benedetti, o forse la vera abilità sta nel vendere la soluzione a un problema che si è appena reso pubblico. Diciamo che questa collaborazione giova più alla loro immagine che alla sicurezza di noi utenti.
Svelare ventidue falle senza riuscire a sfruttarne neanche una somiglia a un elaborato esercizio di stile, il cui scopo pratico pare essere solo generare titoli. Mi chiedo quale sia stato il ritorno sull’investimento di tale operazione.
Hanno scatenato un cucciolo di T-Rex con le braccine corte. Trova le prede, ma non può afferrarle. È il momento perfetto per rinforzare le difese, prima che cresca.
@Giada Mariani, la tua immagine del T-Rex è calzante, anche se mi pare che qui si celebri un’IA per aver creato un problema che solo gli umani possono risolvere. Qual è il punto?
Ventidue vulnerabilità scoperte con zero exploit riusciti: un tasso di conversione dello zero percento. Mi pare più un costoso esercizio di stile che un reale avanzamento per la sicurezza degli utenti comuni come me.