Anthropic ha raggiunto un risultato notevole: nel corso di una collaborazione di due settimane, il modello Claude Opus 4.6 ha identificato 22 vulnerabilità nel codice di Mozilla Firefox, 14 delle quali classificate come ad alta gravità. Questo dato significativo rappresenta quasi un quinto di tutti i difetti gravi risolti da Firefox nel corso del 2025.
Una partnership strategica tra AI e sicurezza del browser
Nel febbraio 2026, il team “Frontier Red Team” di Anthropic ha utilizzato Claude Opus 4.6 per un'analisi approfondita del codice C++ di Firefox, inclusi il motore JavaScript.
In soli venti minuti, l'AI ha individuato una vulnerabilità di tipo Use After Free. Complessivamente, Claude ha inviato a Mozilla 112 segnalazioni, di cui 22 sono state confermate e assegnate tramite CVE, con 14 riconosciute come ad alta gravità. Come sottolineato, "Claude ha trovato più vulnerabilità in due settimane di quante ne trovi la comunità in due mesi".
Mozilla ha corretto la maggior parte di queste falle nella versione 148 del browser, rilasciata il 24 febbraio 2026. Questo intervento ha protetto centinaia di milioni di utenti, rispettando le pratiche di divulgazione responsabile senza alcuna divulgazione pubblica prima dell'applicazione della patch.
AI per la sicurezza: opportunità e limiti
Claude si è dimostrato nettamente più efficace nell'individuare vulnerabilità che nello sfruttarle. Nonostante Anthropic abbia investito circa 4.000 dollari in crediti API per testare la creazione di exploit, solo due sono risultati funzionanti e unicamente in ambienti di test privi di molte protezioni standard del browser.
Ciò solleva una riflessione sul crescente dualismo tra capacità di scoperta automatica e capacità di exploit. Claude eccelle nel ragionare sul codice, emulando il comportamento di un ricercatore umano e superando sistemi tradizionali di fuzzing grazie all'analisi contestuale e all'identificazione di pattern complessi. Tuttavia, la distanza tra l'identificazione di una falla e la sua sfruttabilità rimane significativa.
Impatto sul panorama open source e sfide future
Questa collaborazione con un progetto consolidato come Firefox, dotato di un sistema di bug bounty rodato da decenni, evidenzia il potenziale dell'AI nel rafforzare la sicurezza dei software open source. Tuttavia, molti progetti minori, con risorse limitate, potrebbero trovarsi sommersi da flussi di segnalazioni automatizzate, anche da parte di AI che generano report inconsistenti o errati.
Anthropic ha già identificato oltre 500 vulnerabilità ad alta gravità in altri progetti open source. Ampliare questa capacità richiederà un salto di scala nel modello di business e lo sviluppo di strumenti efficaci per supportare i maintainer con poche risorse.
Verso sistemi di difesa automatica basati sull’AI
Questa esperienza apre la strada a un futuro in cui l'AI non sarà solo un assistente nella redazione di codice, ma un elemento proattivo nella difesa informatica. L'integrazione di sistemi come Claude Code Security, già disponibile per clienti Enterprise e Team, offre una visione concreta di come l'analisi automatizzata possa diventare parte integrante del ciclo DevSecOps.
Per evitare un sovraccarico di falsi positivi e garantire un triage efficace, sarà però cruciale una stretta collaborazione tra automazione e revisione umana.
Il caso Claude-Firefox rappresenta un banco di prova decisivo: dimostra che i modelli AI possono rilevare vulnerabilità dove gli strumenti tradizionali faticano, ma anche che la responsabilità del triage, del patching e della sicurezza continua a richiedere il giudizio umano. L'AI può trasformare la cybersecurity, a patto di integrarla in modo intelligente e responsabile nei processi esistenti.
