La sicurezza dei browser è diventata un tema centrale per chiunque viva online: home banking, lavoro in cloud, social network e servizi pubblici passano quasi sempre da una finestra del browser. In questo contesto, la collaborazione tra Mozilla e Anthropic offre un esempio concreto di come l’intelligenza artificiale stia cambiando il modo in cui si controlla la sicurezza del software, accelerando attività che tradizionalmente richiedono settimane o mesi di revisione manuale.

Nel corso di due settimane di gennaio, gli ingegneri di Anthropic hanno utilizzato Claude Opus 4.6 per analizzare il codice sorgente di Firefox. Il risultato è stato significativo: il modello ha individuato 22 vulnerabilità di sicurezza, di cui 14 classificate come ad alta gravità. Un dato rilevante anche perché rappresenta una quota importante rispetto al totale dei problemi scoperti nel 2025.

🛡️ Perché la sicurezza di Firefox riguarda tutti

Un browser moderno è un software estremamente complesso: gestisce contenuti web potenzialmente ostili, esegue codice, isola processi, protegge credenziali e dati sensibili. Ogni vulnerabilità può diventare un punto d’ingresso per attacchi informatici, dal furto di sessioni e password fino all’esecuzione di codice malevolo sul dispositivo.

Firefox, essendo open source, è già sottoposto a osservazione costante da parte della comunità e dei ricercatori di sicurezza. Proprio per questo, l’idea che un modello di AI riesca a scovare in poco tempo decine di problemi (inclusi casi ad alta gravità) non è una semplice curiosità tecnica: è un segnale di come l’automazione possa rafforzare la difesa, aumentando la velocità con cui si individuano e si correggono le falle.

⚙️ Cosa ha fatto Claude Opus 4.6 sul codice di Firefox

Il lavoro si è concentrato sull’analisi del codice sorgente, con un approccio che ha portato Claude Opus 4.6 a passare al setaccio una base molto ampia: circa 6.000 file in C++. Una dimensione che rende complessa, e spesso impraticabile, una revisione manuale completa in tempi brevi.

Su questo insieme di file, il modello ha individuato in totale 112 vulnerabilità e bug. All’interno di questo numero rientrano:

• 22 vulnerabilità di sicurezza
• 90 bug aggiuntivi

Secondo quanto riportato, quasi tutti i bug aggiuntivi erano già stati sistemati dai tecnici di Mozilla. Le vulnerabilità di sicurezza identificate sono state invece corrette con Firefox 148, versione che integra le patch necessarie.

⏱️ “In meno di 20 minuti”: l’impatto dell’automazione sulla revisione del codice

Uno degli aspetti più indicativi emersi dall’esperimento è la rapidità con cui l’AI può contribuire alle fasi più ripetitive e dispendiose della revisione del codice. In almeno un caso, il modello avrebbe segnalato una vulnerabilità in meno di 20 minuti dall’avvio dell’analisi.

Questo non significa che la sicurezza diventi “istantanea”, né che l’AI sostituisca i team di security engineering. Significa però che l’automazione può comprimere drasticamente i tempi di individuazione dei problemi, permettendo ai tecnici di concentrare energie sulla verifica, sulla correzione e sulla validazione delle patch.

🔍 Dalle prime segnalazioni nel motore JavaScript alla collaborazione continuativa

Il percorso che ha portato Mozilla a lavorare più da vicino con Anthropic è partito da alcune segnalazioni di bug nel motore JavaScript di Firefox. Da quel punto, l’uso di Claude Opus 4.6 è passato da semplice test a strumento di supporto più strutturato nello sviluppo del browser.

Prima di arrivare all’analisi dell’attuale base di codice, il modello è stato messo alla prova su vecchie vulnerabilità già note e risolte. L’obiettivo era verificare se fosse in grado di riconoscerle nel codice, un passaggio utile per misurare l’efficacia del sistema prima di applicarlo su larga scala.

Superata questa fase, è iniziata l’analisi estesa dei file C++ e, dopo i risultati ottenuti, il team ha deciso di usare il modello in modo continuativo durante lo sviluppo di Firefox, come ulteriore livello di controllo.

🧪 Patch in Firefox 148 e prudenza sui falsi positivi

Le vulnerabilità identificate sono state corrette con Firefox 148, che include le patch necessarie. Mozilla, tuttavia, mantiene un approccio prudente: gli strumenti basati su AI possono generare molti falsi positivi, cioè segnalazioni che sembrano problemi ma che, dopo un’analisi accurata, non si rivelano vulnerabilità reali.

Per questo motivo, ogni segnalazione richiede ancora una verifica umana approfondita. In altre parole, l’AI accelera l’individuazione e la triage iniziale, ma la responsabilità della valutazione finale e della correzione resta in capo agli ingegneri.

💻 AI e exploit: Claude più forte nel trovare bug che nel “bucare” il software

Anthropic ha testato anche un aspetto particolarmente delicato: la capacità di Claude Opus 4.6 di scrivere il codice di un exploit, cioè un programma in grado di sfruttare concretamente una vulnerabilità. In questo esperimento, il modello sarebbe riuscito a produrre exploit funzionanti solo in due casi, con un costo complessivo di circa 4.000 dollari in crediti API.

Il punto chiave emerso è che Claude risulta nettamente più efficace nel trovare vulnerabilità che nel generare exploit funzionanti. Inoltre, il costo per la ricerca dei bug è di un ordine di grandezza inferiore rispetto a quello necessario per creare un exploit. Questo dettaglio rende l’uso del modello molto più conveniente per chi difende il software rispetto a chi tenta di attaccarlo.

⚖️ L’asimmetria economica che può favorire i difensori

Tra i dati più interessanti c’è proprio l’asimmetria economica: se strumenti come Claude Opus 4.6 restano più efficienti e meno costosi nel rafforzare il codice rispetto allo sviluppo di attacchi, l’intelligenza artificiale può diventare un alleato concreto per migliorare la sicurezza del software senza offrire automaticamente lo stesso vantaggio a chi cerca di violarla.

Non è una garanzia assoluta, perché l’equilibrio tra difesa e attacco cambia nel tempo e dipende da molti fattori. Ma l’esperienza su Firefox suggerisce che, almeno in questo scenario, l’AI può aumentare la capacità di individuare problemi in modo scalabile, riducendo tempi e costi della fase di discovery.

🚀 Cosa cambia per il futuro dei browser (e per chi naviga ogni giorno)

L’esperienza di Mozilla indica una direzione chiara: integrare l’intelligenza artificiale nel ciclo di sviluppo dei browser può diventare una pratica standard, vista come un supporto aggiuntivo e non come un sostituto dei team di sicurezza. In un software complesso come un browser, dove ogni release introduce nuove funzioni e nuove superfici d’attacco, avere un livello ulteriore di controllo automatizzato può fare la differenza nel ridurre la finestra temporale tra l’introduzione di un bug e la sua scoperta.

Per gli utenti, il messaggio è altrettanto concreto: aggiornare il browser resta una delle misure più efficaci per proteggersi. Se le patch arrivano in Firefox 148, è lì che la protezione diventa reale sul dispositivo. L’AI può accelerare la scoperta, ma la sicurezza si completa solo quando gli aggiornamenti vengono installati e le correzioni entrano in produzione.

In sintesi, la collaborazione tra Mozilla e Anthropic mostra come l’AI possa contribuire a rendere Firefox più sicuro in tempi ridotti, con risultati misurabili: 22 vulnerabilità di sicurezza individuate in due settimane, 14 delle quali ad alta gravità, e un totale di 112 problemi rilevati su migliaia di file. Un segnale forte di come la sicurezza del software stia entrando in una nuova fase, dove automazione e competenze umane lavorano insieme.

Ti consigliamo anche: Migliori Antivirus 2026