Mozilla ha corretto 271 vulnerabilità di sicurezza in Firefox 150 grazie all'analisi del modello linguistico Claude Mythos di Anthropic, un risultato oltre dieci volte superiore alle 22 falle identificate nella versione precedente con Claude Opus 4.6.
Per chi sviluppa o mantiene software in Italia, il dato conta perché sposta il baricentro della cybersecurity: non si tratta più solo di reagire alle minacce, ma di prevenirle sistematicamente prima del rilascio. Con il codice open source sempre più esposto a scanning automatizzati, la capacità di individuare bug complessi in fase di sviluppo diventa un vantaggio competitivo e una responsabilità operativa concreta.
Come Claude Mythos ha individuato le vulnerabilità
Claude Mythos ha analizzato il codice sorgente di Firefox 150 prima del rilascio, identificando vulnerabilità che avrebbero potuto rimanere nascoste fino a un eventuale sfruttamento da parte di attori malevoli. Il sistema non si è limitato a tecniche di fuzzing automatizzato, ma ha applicato un ragionamento logico sulla struttura del software per individuare errori complessi in aree critiche come il motore JavaScript, secondo quanto documentato dal team di sicurezza Mozilla.
“Fino a pochi mesi fa i computer non erano assolutamente in grado di farlo, mentre ora eccellono in questo campo. Abbiamo alle spalle molti anni di esperienza nell'analizzare minuziosamente il lavoro dei migliori ricercatori di sicurezza al mondo, e Mythos Preview è altrettanto capace.” Bobby Holley, Firefox CTO
La maggior parte delle 271 vulnerabilità non ha raggiunto la soglia per l'assegnazione di un CVE pubblico, indicando che si tratta di issue a bassa severità o difetti in percorsi di codice non direttamente sfruttabili. Tuttavia, il volume stesso delle segnalazioni dimostra che l'AI può scalare un'attività tradizionalmente ad alta intensità di competenze umane specializzate.
La domanda che nessuno nei comunicati ufficiali si pone è semplice: se Mythos trova 271 bug in Firefox, quanti ne troverà in progetti open source mantenuti da volontari con budget zero?
Chi segue il settore da vicino sa che questi annunci arrivano sempre a mercati chiusi e che i numeri ufficiali raccontano solo metà della storia. La vera sfida non è trovare i bug, ma integrare questi strumenti nei flussi di sviluppo senza rallentare il rilascio o introdurre falsi positivi che affatichino i team di manutenzione.
Luci e ombre: il dual-use dell'AI in cybersecurity
Claude Mythos non è solo uno strumento di difesa. Anthropic ha documentato che lo stesso modello linguistico è in grado di generare exploit primitivi partendo dalle vulnerabilità individuate, anche se con limitazioni significative: gli exploit prodotti funzionano solo in ambienti di test privi di sandbox e altre difese in profondità.
Questo dual-use la stessa tecnologia che protegge può anche essere usata per attaccare non è una novità, ma l'accelerazione introdotta da Mythos rende il divario temporale tra scoperta e sfruttamento molto più stretto. Per gli sviluppatori, significa che il window of exposure si riduce, ma anche che la pressione per applicare patch tempestive aumenta.
Mozilla ha chiarito un punto cruciale: nessuna delle vulnerabilità scoperte da Mythos rientra in una categoria “nuova” o incomprensibile per un ricercatore umano esperto. Questo rassicura sul fatto che l'AI non sta introducendo minacce imprevedibili, ma sta democratizzando capacità che prima richiedevano anni di specializzazione.
Cosa cambia per gli sviluppatori italiani
Per chi lavora su progetti software in Italia, l'implicazione pratica è duplice. Primo: integrare strumenti di AI-assisted security scanning nei pipeline di CI/CD non è più un'opzione “avanzata”, ma una misura di igiene di base per competere su sicurezza e affidabilità. Secondo: la scarsità di risorse umane specializzate in cybersecurity rende questi strumenti un moltiplicatore di forza, non un sostituto.
Se sviluppate o mantenete librerie open source usate in produzione, il messaggio è diretto: prima adottate questi strumenti, prima riducete il rischio che vulnerabilità simili vengano scoperte e sfruttate da altri. Il Glossario AI di AI Focus News approfondisce i termini tecnici come modello linguistico per chi vuole valutare con consapevolezza l'adozione di queste tecnologie.
La sicurezza del software non è mai stata un problema risolvibile una volta per tutte. Ma con strumenti come Claude Mythos Firefox, gli sviluppatori hanno ora un alleato che scala con il codice e che, se usato con disciplina, può trasformare la caccia ai bug da emergenza reattiva a pratica preventiva strutturata.