Tre settimane fa Mozilla usò Opus 4.6 di Anthropic per cercare vulnerabilità in Firefox 148 e trovò 22 bug da correggere. Questa settimana è uscito Firefox 150, e il numero è 271. A fare la differenza è Claude Mythos Preview, versione anticipata del nuovo modello di Anthropic, sviluppato nell’ambito del progetto Glasswing con un focus specifico sull’analisi del codice per la sicurezza.
Bobby Holley, CTO di Mozilla, non nasconde lo spiazzamento nel post sul blog: Firefox è un browser su cui team di sicurezza dedicati lavorano da anni, e trovare anche una sola falla grave era già motivo di allerta. Trovarne 271 in una singola analisi costringe a rimettere in discussione qualche certezza.
// affiliato ▸ Infomaniak Mail · Email professionale, svizzera e sicura · Scopri i servizi →
Non è fuzzing, è ragionamento
Gli strumenti automatici che cercano bug nei browser, il fuzzing in testa, funzionano bene su certe aree del codice e lasciano scoperte le altre. Le vulnerabilità più difficili da trovare richiedono di leggere il sorgente e ragionare su come le cose potrebbero andare storte, un lavoro che finora era appannaggio di ricercatori molto specializzati, lenti per forza di cose e costosi. Mythos Preview fa la stessa cosa, senza i limiti di tempo. Holley precisa che nessuna delle 271 falle sarebbe stata fuori portata per un esperto umano: la differenza non è qualitativa, è di scala e velocità.
Il campo si sta livellando, nel bene e nel male
La sicurezza ha sempre favorito chi attacca: basta trovare un punto debole, mentre i difensori devono coprire tutto. Firefox ha risposto con sandbox, processi isolati, Rust, ma nessuna di queste misure risolve il problema alla radice. Mythos promette qualcosa di strutturalmente diverso: trovare le falle a ritmo industriale prima che lo faccia qualcun altro. Holley è convinto che i difetti nel codice siano in numero finito e che per la prima volta ci siano gli strumenti per trovarli tutti.
Il problema è che lo stesso modello funziona benissimo anche dall’altra parte. L’AI Security Institute del governo britannico ha verificato che Mythos riesce a portare a termine da solo attacchi simulati su reti aziendali in più fasi. Mozilla non lo nasconde: l’IA abbassa il costo della scoperta delle vulnerabilità per tutti.
Mastodon
Telegram
Bluesky
RSS
Newsletter
Lascia un commento