Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Mozilla ha utilizzato l'intelligenza artificiale Anthropic Mythos, per scoprire 271 vulnerabilità in Firefox 150. Si tratta di una scoperta che potrebbe rivoluzionare la sicurezza del software. Il modello di intelligenza artificiale, chiamato Mythos, ha rilevato le vulnerabilità in modo più efficiente rispetto ai metodi tradizionali e sembrerebbe con le stesse competenze di un ricercatore di sicurezza esperto.
Mozilla ha testato il suo nuovo strumento di rilevamento delle vulnerabilità basato sull’intelligenza artificiale, Anthropic, e i risultati sono già stati salutati dall’azienda come una svolta per la sicurezza del software. Il modello Mythos ha individuato 271 vulnerabilità in Firefox 150, una cifra che allarma il team del browser ma fa anche sperare che i difensori abbiano finalmente la possibilità di passare all’offensiva.
La Mozilla Foundation ha ricordato di aver precedentemente testato il modello Opus 4.6 di Anthropic su Firefox 148. All’epoca, il sistema aveva individuato 22 bug. Una nuova esecuzione con Mythos su Firefox 150 ha prodotto un risultato completamente diverso: il modello ha ora identificato 271 vulnerabilità.
Il CTO di Mozilla, Bobby Holley, ha ammesso che questo risultato ha lasciato il team quasi sbalordito.
Nel 2025, anche un solo bug grave in un prodotto ben protetto sarebbe stato motivo di allarme, ma centinaia di scoperte simultanee fanno sorgere il dubbio se gli sviluppatori avranno il tempo di risolvere tali problemi.
Nonostante la tensione, Holly considera la scoperta una buona notizia per i ricercatori nel campo della sicurezza. Secondo la dirigente, il settore mantiene da anni un delicato equilibrio: eliminare completamente tutte le vulnerabilità è quasi impossibile, quindi le aziende hanno cercato di rendere lo sfruttamento troppo costoso e difficile, in modo che solo chi dispone di risorse praticamente illimitate possa approfittarne.
Ora la situazione sta cambiando. Mozilla utilizza già il fuzzing, ovvero un test automatizzato a forza bruta dei dati di input per trovare bug senza intervento umano. Ma Mythos, secondo Holly, va oltre ed è in grado di analizzare il codice sorgente in modo molto simile a quanto farebbero ricercatori di sicurezza esperti. In precedenza, un’analisi di questo tipo richiedeva competenze rare e una notevole quantità di tempo, e le macchine semplicemente non erano all’altezza del compito.
Secondo Mozilla, la situazione è cambiata radicalmente negli ultimi mesi. Holly scrive che Mythos Preview è paragonabile, in termini di capacità, ai migliori ricercatori, il cui lavoro è studiato dal team di Firefox per anni. Finora, gli sviluppatori non hanno riscontrato una singola classe o livello di complessità delle vulnerabilità che un essere umano possa rilevare ma un modello no.
Il capo del dipartimento ritiene che tali capacità di intelligenza artificiale siano allarmanti nel breve termine, ma che nel lungo periodo siano vantaggiose per la difesa. Quando le macchine iniziano a cercare scoperte costose e che richiedono molto lavoro, il vantaggio degli aggressori diminuisce.
Se il divario tra ciò che un essere umano e una macchina possono trovare scompare, la ricerca di vulnerabilità diventa più economica non solo per gli aggressori, ma anche per i difensori.
Holly non concorda nemmeno con le previsioni secondo cui i modelli futuri inizieranno a scoprire tipi di vulnerabilità completamente nuovi, che vanno oltre le attuali conoscenze. Secondo il CTO, Firefox rimane un sistema complesso, ma modulare, progettato per essere comprensibile. Il numero di falle è finito, il che significa che il settore potrebbe alla fine scoprirle tutte.
