PDA

View Full Version : L'IA scopre oltre 100 vulnerabilità in Mozilla Firefox in due settimane


Redazione di Hardware Upg
09-03-2026, 10:11
Link alla notizia: https://www.hwupgrade.it/news/web/l-ia-scopre-oltre-100-vulnerabilita-in-mozilla-firefox-in-due-settimane_151054.html

Claude, il modello di IA sviluppato da Anthropic, ha individuato oltre 100 bug nel browser Mozilla Firefox in due settimane, inclusi 14 problemi di sicurezza gravi. Mozilla intende integrare questo metodo nel proprio sviluppo per migliorare la sicurezza del software open source

Click sul link per visualizzare la notizia.

pachainti
09-03-2026, 11:14
Ottima notizia, tuttavia occorre anche considerare quanti falsi positivi ci siano. Se a fronte di X bug trovati, ci sono Y>>X bug falsi, è una perdita di tempo verificare il tutto.
Alcuni esempi di AI slop nei programmi bug bounty:
AI slop and fake reports are coming for your bug bounty programs (https://techcrunch.com/2025/07/24/ai-slop-and-fake-reports-are-exhausting-some-security-bug-bounties/)
AI slop security reports submitted to curl4 (https://gist.github.com/bagder/07f7581f6e3d78ef37dfbfc81fd1d1cd)
Remove Bug Bounty program (https://github.com/CycloneDX/cyclonedx-rust-cargo/commit/93b19cb4ac96d1b8f51647df2b89ec4359becae1)

From Reviewers’ Lens: Understanding Bug Bounty Report Invalid Reasons with LLMs (https://arxiv.org/html/2511.18608v1)
Our results show that large language models can handle bug bounty report validation fairly well in general, but they still struggle to identify invalid cases and often accept reports that only look like real vulnerabilities. Fine-tuning a task-specific model such as RoBERTa helps reduce this bias and makes the predictions more balanced between valid and invalid reports. However, the persistent performance gap across classes suggests that the models rely mainly on surface-level linguistic patterns rather than deeper reviewer reasoning.

Hiei3600
09-03-2026, 12:20
Ottima notizia, tuttavia occorre anche considerare quanti falsi positivi ci siano. Se a fronte di X bug trovati, ci sono Y>>X bug falsi, è una perdita di tempo verificare il tutto.
Alcuni esempi di AI slop nei programmi bug bounty:
AI slop and fake reports are coming for your bug bounty programs (https://techcrunch.com/2025/07/24/ai-slop-and-fake-reports-are-exhausting-some-security-bug-bounties/)
AI slop security reports submitted to curl4 (https://gist.github.com/bagder/07f7581f6e3d78ef37dfbfc81fd1d1cd)
Remove Bug Bounty program (https://github.com/CycloneDX/cyclonedx-rust-cargo/commit/93b19cb4ac96d1b8f51647df2b89ec4359becae1)

From Reviewers’ Lens: Understanding Bug Bounty Report Invalid Reasons with LLMs (https://arxiv.org/html/2511.18608v1)
Our results show that large language models can handle bug bounty report validation fairly well in general, but they still struggle to identify invalid cases and often accept reports that only look like real vulnerabilities. Fine-tuning a task-specific model such as RoBERTa helps reduce this bias and makes the predictions more balanced between valid and invalid reports. However, the persistent performance gap across classes suggests that the models rely mainly on surface-level linguistic patterns rather than deeper reviewer reasoning.


Critica legittima, però bisognerebbe anche ricordare che i falsi positivi esistevano / esistono anche quando sono umani in carne ed ossa a riportare dei bug - è un po come quando certa gente critica l'IA (specie qualche anno fa) che fa artwork che sono praticamente degli sgorbi, dimenticandosi che anche gli umani per primi fanno artwork orripilanti, specie quando sono ancora dei dilettanti.

Detto questo si spera che in futuro l'IA sarà sempre più precisa nei bug report, per adesso già non è malaccio a mio avviso

pachainti
09-03-2026, 14:18
Critica legittima, però bisognerebbe anche ricordare che i falsi positivi esistevano / esistono anche quando sono umani in carne ed ossa a riportare dei bug - è un po come quando certa gente critica l'IA (specie qualche anno fa) che fa artwork che sono praticamente degli sgorbi, dimenticandosi che anche gli umani per primi fanno artwork orripilanti, specie quando sono ancora dei dilettanti.

La differenza fondamentale è che un modello LLM produce una quantità immensa di slop di almeno due-tre ordini di grandezza rispetto a un umano. L'altro grosso problema è che un LLM non lo fa volontariamente è che non capisce nulla di quello che fa, questo è ancora peggio. ChatGPT is bullshit (https://link.springer.com/article/10.1007/s10676-024-09775-5).


Detto questo si spera che in futuro l'IA sarà sempre più precisa nei bug report, per adesso già non è malaccio a mio avviso

Secondo i numeri, e quindi i fatti, non funziona affatto bene, ma ognuno è libero di credere quello che preferisce.

barzokk
09-03-2026, 15:27
La differenza fondamentale è che un modello LLM produce una quantità immensa di slop di almeno due-tre ordini di grandezza rispetto a un umano. L'altro grosso problema è che un LLM non lo fa volontariamente è che non capisce nulla di quello che fa, questo è ancora peggio. ChatGPT is bullshit (https://link.springer.com/article/10.1007/s10676-024-09775-5).



Secondo i numeri, e quindi i fatti, non funziona affatto bene, ma ognuno è libero di credere quello che preferisce.
prima che arrivi qualcuno a ragliare "eh mah pachianti posta sempre le stesse storie"
è scritto nella news:

https://www.techspot.com/news/111600-mozilla-claude-ai-uncovered-over-100-firefox-bugs.html
Mozilla emphasized that Anthropic's approach to bug reporting differs significantly from other AI-driven efforts.
Some major open-source projects, including curl, have been forced to discourage or outright ban AI-generated contributions after being flooded with low-quality submissions from users attempting to earn bug bounty rewards without proper vetting.

se invece l'approccio è diverso, visto che la IA nel produrre codice da scimmia ammaestrata ha buoni risultati, diamo il beneficio del dubbio:

Many of the vulnerabilities uncovered through Anthropic's technique are typically discovered through fuzzing, an automated testing method that feeds unexpected inputs into software to trigger crashes. However, Mozilla said the AI model also identified several classes of logic bugs that traditional fuzzing techniques often miss.

Insomma generare stronzate sembra proprio quello che è stato utile,
che vogliamo di più ? :D

pachainti
10-03-2026, 09:49
prima che arrivi qualcuno a ragliare "eh mah pachianti posta sempre le stesse storie"
è scritto nella news:

https://www.techspot.com/news/111600-mozilla-claude-ai-uncovered-over-100-firefox-bugs.html
Mozilla emphasized that Anthropic's approach to bug reporting differs significantly from other AI-driven efforts.
Some major open-source projects, including curl, have been forced to discourage or outright ban AI-generated contributions after being flooded with low-quality submissions from users attempting to earn bug bounty rewards without proper vetting.

se invece l'approccio è diverso, visto che la IA nel produrre codice da scimmia ammaestrata ha buoni risultati, diamo il beneficio del dubbio:

Many of the vulnerabilities uncovered through Anthropic's technique are typically discovered through fuzzing, an automated testing method that feeds unexpected inputs into software to trigger crashes. However, Mozilla said the AI model also identified several classes of logic bugs that traditional fuzzing techniques often miss.

Insomma generare stronzate sembra proprio quello che è stato utile,
che vogliamo di più ? :D

Concordo su tutto. Grazie per la precisazione.

Giuss
10-03-2026, 11:03
L'AI è di fatto un software che trova bug in un altro software, quale dei due ha ragione?
C'è sempre bisogno del controllo umano per vedere se le rilevazioni sono corrette secondo me

gabrieleromano
10-03-2026, 16:35
la questione non è tanto se l'AI ileva 100 vulnerabilià in 2 settimane, quanto piuttosto se l'AI riesce scovare bug per gli hacker...