Intelligenza artificiale a caccia di vulnerabilità in Mozilla. Scoperte un centinaio di criticità.

L’intelligenza artificiale sta diventando uno strumento sempre più prezioso nel campo della sicurezza informatica. Un esempio recente arriva dalla collaborazione tra Mozilla e Anthropic, azienda specializzata nello sviluppo di modelli avanzati di IA. Grazie a questo lavoro congiunto è stato possibile individuare oltre cento problemi nel codice di Firefox in appena due settimane, evidenziando numerose vulnerabilità in Mozilla che avrebbero potuto rappresentare un rischio per gli utenti.

L’analisi è stata condotta dal team Frontier Red Team di Anthropic, che ha utilizzato il modello di intelligenza artificiale Claude per esaminare il codice del browser. L’attenzione si è concentrata in particolare sul motore JavaScript di Firefox, una componente fondamentale che gestisce l’esecuzione degli script all’interno delle pagine web. Proprio in questo segmento del software sono state individuate diverse vulnerabilità in Mozilla, alcune delle quali considerate particolarmente critiche.

Secondo i dati diffusi dai ricercatori, il sistema ha individuato 14 bug di sicurezza classificati ad alta gravità. Questi problemi hanno portato alla creazione di 22 identificativi CVE, utilizzati a livello internazionale per monitorare le falle di sicurezza nei software. Tutte le vulnerabilità in Mozilla segnalate come più gravi sono state corrette nella versione aggiornata del browser, Firefox 148.0.

Oltre ai problemi più seri, l’indagine ha portato alla scoperta di circa 90 difetti minori nel codice. Anche questi errori sono stati successivamente risolti dagli sviluppatori. Uno degli aspetti più interessanti del sistema basato sull’IA è la capacità di generare automaticamente piccoli test per dimostrare l’esistenza dei bug. Questo approccio ha facilitato il lavoro del team Mozilla, che ha potuto verificare rapidamente ogni segnalazione relativa alle vulnerabilità in Mozilla.

Mozilla ha inoltre sottolineato che questo metodo si distingue da altri tentativi di utilizzare l’intelligenza artificiale nella ricerca di bug. In diversi progetti open source sono state ricevute segnalazioni generate automaticamente da IA ma spesso poco accurate. In molti casi queste comunicazioni sono inviate da utenti che sperano di ottenere ricompense nei programmi di bug bounty senza verificare realmente i problemi individuati.

Nel caso di Anthropic, invece, il sistema ha dimostrato un livello di precisione molto più elevato. Oltre ai bug individuabili tramite tecniche come il fuzzing, l’IA è riuscita a identificare anche errori logici, una categoria di difetti più difficile da intercettare. Questa esperienza dimostra come l’intelligenza artificiale possa diventare un alleato importante nella scoperta di nuove vulnerabilità in Mozilla e nel miglioramento della sicurezza dei software moderni.

Scritto da Michele Bellotti