Il modello AI di Anthropic ha identificato centinaia di falle nel browser Mozilla durante i test interni
Mozilla ha reso noto in un post pubblicato martedì che una versione preliminare di Claude Mythos, il modello AI sviluppato da Anthropic, ha identificato 271 vulnerabilità nel browser Firefox durante sessioni di test interni. Le falle sono state corrette questa settimana.
Mozilla aveva già testato in precedenza un altro modello Anthropic, che aveva identificato 22 bug critici per la sicurezza in una versione precedente di Firefox. Nonostante questi successi, l’azienda ha riconosciuto che il settore della cybersecurity ha a lungo considerato l’eliminazione completa degli exploit software come un obiettivo “irrealistico”. “Fino ad ora, il settore ha sostanzialmente combattuto la sicurezza in parità”, ha scritto Mozilla. “I fornitori di software critico esposto a Internet come Firefox prendono la sicurezza molto sul serio e hanno team di persone che ogni mattina si alzano pensando a come mantenere gli utenti al sicuro.”
Mozilla ha precisato che il nuovo sistema AI può analizzare il codice sorgente e identificare vulnerabilità in modi che in precedenza dipendevano da una scarsa expertise umana. L’azienda ha però sottolineato un dato rassicurante: nessun bug trovato era irrilevabile per “un ricercatore umano d’élite”. “Alcuni commentatori prevedono che i futuri modelli AI sveleranno forme di vulnerabilità del tutto nuove che sfidano la nostra comprensione attuale, ma non la pensiamo così”, ha dichiarato Mozilla. “Software come Firefox è progettato in modo modulare per consentire agli esseri umani di ragionare sulla sua correttezza.”
Lanciato a marzo, Claude Mythos è il modello più avanzato di Anthropic per attività di ragionamento, coding e cybersecurity, posizionato come parte di un nuovo livello oltre la precedente serie Opus. Anthropic ha limitato l’accesso al sistema attraverso un programma ristretto denominato Project Glasswing, che consente a una selezione di aziende tecnologiche – tra cui Amazon, Apple e Microsoft – di utilizzare il modello per scansionare software alla ricerca di vulnerabilità. I test condotti prima del rilascio del modello avevano già mostrato la capacità di identificare migliaia di vulnerabilità precedentemente sconosciute su sistemi operativi e browser principali.
La stessa tecnologia, tuttavia, potrebbe abilitare nuove forme di attacco informatico. Come già evidenziato da test condotti dall’AI Security Institute del Regno Unito, Claude Mythos è in grado di eseguire in autonomia operazioni informatiche complesse, inclusa la simulazione di un attacco a una rete aziendale multi-stadio senza assistenza umana. Secondo fonti vicine alla questione, la National Security Agency statunitense sta già eseguendo Claude Mythos Preview su reti classificate, nonostante le tensioni con l’amministrazione Trump sull’utilizzo della tecnologia Anthropic in contesti di guerra e sorveglianza.
