L'IA scopre oltre 100 vulnerabilità in Mozilla Firefox in due settimane
Claude, il modello di IA sviluppato da Anthropic, ha individuato oltre 100 bug nel browser Mozilla Firefox in due settimane, inclusi 14 problemi di sicurezza gravi. Mozilla intende integrare questo metodo nel proprio sviluppo per migliorare la sicurezza del software open source
di Francesco Messina pubblicata il 09 Marzo 2026, alle 11:11 nel canale WebMozillaFirefox
L'intelligenza artificiale sta iniziando a svolgere un ruolo sempre più importante nel campo della sicurezza informatica. Un esempio recente arriva dalla collaborazione tra Mozilla e la società di IA Anthropic, che ha portato alla scoperta di oltre cento bug nel browser Mozilla Firefox in appena due settimane di analisi.
Il lavoro è stato condotto insieme al team Frontier Red Team di Anthropic, utilizzando il modello di intelligenza artificiale Claude. L'obiettivo era individuare vulnerabilità di sicurezza nel codice del browser, in particolare nel motore JavaScript di Firefox. Questo componente è una parte fondamentale del software perché gestisce l'esecuzione degli script presenti nelle pagine web ed è spesso uno dei punti più sensibili dal punto di vista della sicurezza.
Grazie al nuovo metodo di analisi assistito dall'IA, il sistema è riuscito a identificare numerosi problemi nel codice. In totale sono stati confermati 14 bug di sicurezza ad alta gravità, che hanno generato 22 identificativi CVE per il monitoraggio ufficiale delle vulnerabilità. Tutti questi problemi sono stati corretti nella versione più recente del browser, Firefox 148.0.
Ulteriori vulnerabilità individuate in Mozilla Firefox
Oltre ai bug più critici, l'analisi ha individuato anche circa 90 vulnerabilità minori, successivamente risolte dagli sviluppatori. Un aspetto particolarmente utile del sistema sviluppato da Anthropic è la capacità di generare piccoli casi di test per ogni problema individuato. Questo ha permesso al team di Mozilla di verificare rapidamente i bug e riprodurli per correggerli.
Mozilla ha sottolineato che questo approccio differisce da molte altre iniziative legate all'uso dell'intelligenza artificiale nella sicurezza. Alcuni progetti open source hanno infatti ricevuto grandi quantità di segnalazioni generate da IA di scarsa qualità, spesso inviate da utenti che cercano di ottenere ricompense nei programmi di bug bounty senza controllare accuratamente i risultati.
Il metodo utilizzato da Anthropic si è rivelato invece molto più efficace. Molte delle vulnerabilità individuate vengono normalmente scoperte attraverso il fuzzing, una tecnica automatica che testa il software con input casuali o imprevisti per individuare crash e comportamenti anomali. Tuttavia, il sistema basato su Claude è riuscito anche a trovare bug logici, una categoria di errori che spesso sfugge alle tecniche tradizionali.
Wi-Fi 7 con il design di una vetta innevata: ecco il nuovo sistema mesh di Huawei
Core Ultra 7 270K Plus e Core Ultra 7 250K Plus: Intel cerca il riscatto ma ci riesce in parte
PC Specialist Lafité 14 AI AMD: assemblato come vuoi tu
L'esperimento BASE del CERN è riuscito a trasportare dell'antimateria
Afeela è morta: chiusa definitivamente la collaborazione tra Sony e Honda per gli EV premium
Intel BOT altera i risultati, Geekbench invita a non fidarsi dei risultati delle CPU che lo supportano
Intel e AMD faticano a soddisfare la domanda consumer: CPU introvabili e attese fino a sei mesi
Microsoft e NVIDIA insieme per dare una scossa allo sviluppo del nucleare: l'IA per accelerare i tempi
Ring rinnova l'intera gamma video: 4K su batteria, PoE e nuovo caricatore solare tra le novità
Recensione Galaxy Buds4 Pro: le cuffie Samsung più belle e intelligenti
Spotify si arricchisce ancora: arriva SongDNA, tutto sulla tua musica preferita
I digital twin di AVEVA a supporto delle AI Factory di NVIDIA
Iliad non si ferma: clienti in crescita sia sul mobile sia per la fibra
XuanTie C950, il chip IA di Alibaba basato su RISC-V sarà prodotto a 5 nm
Volkswagen richiama 94.000 auto elettriche per rischio incendio nei moduli batteria
Le nuove LaserJet di HP portano la crittografia quantum-resistant su tutte le stampanti, dalle Pro alle Enterprise
FSR 4 gira sulla GPU di PS5 Pro, ma non sulle vecchie Radeon: AMD cosa aspetti?
7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoAlcuni esempi di AI slop nei programmi bug bounty:
AI slop and fake reports are coming for your bug bounty programs
AI slop security reports submitted to curl4
Remove Bug Bounty program
From Reviewers’ Lens: Understanding Bug Bounty Report Invalid Reasons with LLMs
Our results show that large language models can handle bug bounty report validation fairly well in general, but they still struggle to identify invalid cases and often accept reports that only look like real vulnerabilities. Fine-tuning a task-specific model such as RoBERTa helps reduce this bias and makes the predictions more balanced between valid and invalid reports. However, the persistent performance gap across classes suggests that the models rely mainly on surface-level linguistic patterns rather than deeper reviewer reasoning.
Alcuni esempi di AI slop nei programmi bug bounty:
AI slop and fake reports are coming for your bug bounty programs
AI slop security reports submitted to curl4
Remove Bug Bounty program
From Reviewers’ Lens: Understanding Bug Bounty Report Invalid Reasons with LLMs
Our results show that large language models can handle bug bounty report validation fairly well in general, but they still struggle to identify invalid cases and often accept reports that only look like real vulnerabilities. Fine-tuning a task-specific model such as RoBERTa helps reduce this bias and makes the predictions more balanced between valid and invalid reports. However, the persistent performance gap across classes suggests that the models rely mainly on surface-level linguistic patterns rather than deeper reviewer reasoning.
Critica legittima, però bisognerebbe anche ricordare che i falsi positivi esistevano / esistono anche quando sono umani in carne ed ossa a riportare dei bug - è un po come quando certa gente critica l'IA (specie qualche anno fa) che fa artwork che sono praticamente degli sgorbi, dimenticandosi che anche gli umani per primi fanno artwork orripilanti, specie quando sono ancora dei dilettanti.
Detto questo si spera che in futuro l'IA sarà sempre più precisa nei bug report, per adesso già non è malaccio a mio avviso
La differenza fondamentale è che un modello LLM produce una quantità immensa di slop di almeno due-tre ordini di grandezza rispetto a un umano. L'altro grosso problema è che un LLM non lo fa volontariamente è che non capisce nulla di quello che fa, questo è ancora peggio. ChatGPT is bullshit.
Secondo i numeri, e quindi i fatti, non funziona affatto bene, ma ognuno è libero di credere quello che preferisce.
Secondo i numeri, e quindi i fatti, non funziona affatto bene, ma ognuno è libero di credere quello che preferisce.
prima che arrivi qualcuno a ragliare "eh mah pachianti posta sempre le stesse storie"
è scritto nella news:
https://www.techspot.com/news/11160...refox-bugs.html
[I]Mozilla emphasized that Anthropic's approach to bug reporting differs significantly from other AI-driven efforts.
Some major open-source projects, including curl, have been forced to discourage or outright ban AI-generated contributions after being flooded with low-quality submissions from users attempting to earn bug bounty rewards without proper vetting.[/I]
se invece l'approccio è diverso, visto che la IA nel produrre codice da scimmia ammaestrata ha buoni risultati, diamo il beneficio del dubbio:
[I]Many of the vulnerabilities uncovered through Anthropic's technique are typically discovered through fuzzing, an automated testing method that feeds unexpected inputs into software to trigger crashes. However, Mozilla said the AI model also identified several classes of logic bugs that traditional fuzzing techniques often miss.[/I]
Insomma generare stronzate sembra proprio quello che è stato utile,
che vogliamo di più ?
è scritto nella news:
https://www.techspot.com/news/11160...refox-bugs.html
[I]Mozilla emphasized that Anthropic's approach to bug reporting differs significantly from other AI-driven efforts.
Some major open-source projects, including curl, have been forced to discourage or outright ban AI-generated contributions after being flooded with low-quality submissions from users attempting to earn bug bounty rewards without proper vetting.[/I]
se invece l'approccio è diverso, visto che la IA nel produrre codice da scimmia ammaestrata ha buoni risultati, diamo il beneficio del dubbio:
[I]Many of the vulnerabilities uncovered through Anthropic's technique are typically discovered through fuzzing, an automated testing method that feeds unexpected inputs into software to trigger crashes. However, Mozilla said the AI model also identified several classes of logic bugs that traditional fuzzing techniques often miss.[/I]
Insomma generare stronzate sembra proprio quello che è stato utile,
che vogliamo di più ?
Concordo su tutto. Grazie per la precisazione.
C'è sempre bisogno del controllo umano per vedere se le rilevazioni sono corrette secondo me
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".