In una recente partnership sulla sicurezza con Mozilla, Anthropic ha identificato 22 vulnerabilità separate nel browser Firefox, 14 delle quali classificate come ad alta gravità. L’esperimento, descritto da TechCrunch, è stato condotto nell’arco di due settimane utilizzando il modello Claude Opus 4.6. Il team di Anthropic ha iniziato l’analisi dal motore JavaScript per poi espandersi ad altre porzioni del codice sorgente. La maggior parte dei bug è stata risolta nella versione 148 di Firefox, rilasciata a febbraio, mentre alcune correzioni sono state rimandate al prossimo aggiornamento. La scelta di Firefox è stata motivata dalla sua complessità e dal fatto che è considerato uno dei progetti open source più testati e sicuri al mondo.
Il risultato dimostra un’applicazione pratica degli strumenti di AI generativa per il miglioramento della sicurezza del software open source. Team di sviluppo e auditor di sicurezza possono utilizzare questi modelli per eseguire analisi del codice su larga scala, identificando potenziali punti deboli in codebase complesse che potrebbero sfuggire a revisioni manuali o a strumenti automatizzati tradizionali. Questo approccio può accelerare il ciclo di identificazione e patch delle vulnerabilità, aumentando la resilienza di progetti critici per l’infrastruttura digitale. Il beneficio si estende agli utenti finali, che ricevono aggiornamenti di sicurezza più rapidi, e alle organizzazioni che mantengono il software, che possono allocare le risorse umane su compiti di analisi più approfondita.
L’esperimento ha però evidenziato limiti significativi. Claude Opus si è rivelato molto più efficace nell’individuare le vulnerabilità che nel scrivere software per sfruttarle. Il team ha speso 4000 dollari in crediti API nel tentativo di creare exploit di prova, riuscendo solo in due casi. Questo indica che l’AI, nella sua forma attuale, non sostituisce l’esperienza umana nella creazione di proof-of-concept o nella comprensione completa del rischio operativo. Inoltre, l’uso di questi strumenti su progetti open source può generare un elevato numero di segnalazioni false positive o richieste di merge di bassa qualità, imponendo un lavoro di filtraggio e validazione da parte dei maintainer. La fonte originale non discute i costi computazionali o i potenziali bias del modello nell’analisi.
Questa iniziativa si inserisce in un trend crescente di applicazione dell’AI generativa alla sicurezza informatica e allo sviluppo software. Aziende e progetti open source stanno esplorando come integrare questi assistenti nei loro flussi di lavoro di audit e code review. Lo sviluppo futuro potrebbe vedere modelli specializzati addestrati su dataset di vulnerabilità e patch, o integrati direttamente negli ambienti di sviluppo. Resta aperta la questione di come bilanciare l’automazione con la supervisione umana, e di come gestire l’aumento del volume di segnalazioni. Per un professionista della sicurezza o uno sviluppatore, la domanda pratica è come strutturare un processo che sfrutti l’ampiezza di analisi dell’AI senza compromettere la profondità e l’affidabilità della validazione finale.
Alessio Baronti
Consulente Strategico AI & Sviluppatore Web
