Quattordici vulnerabilità ad alta gravità trovate in due settimane, senza che un ricercatore umano dovesse passare giorni a leggere codice sorgente riga per riga. È il risultato della collaborazione tra Anthropic e Mozilla, raccontata da TechCrunch, in cui il modello Claude è stato usato per analizzare il codice di Firefox alla ricerca di falle di sicurezza. In totale, il modello ha identificato 22 vulnerabilità distinte.
Non è la prima volta che l’AI viene applicata alla ricerca di vulnerabilità software, ma la scala e la velocità di questo risultato meritano attenzione. Firefox è un browser maturo, con milioni di righe di codice e decenni di sviluppo alle spalle. Trovare 22 vulnerabilità in quattordici giorni, con una quota significativa classificata come ad alta gravità, suggerisce che i modelli linguistici di grandi dimensioni stanno diventando strumenti genuinamente utili per l’analisi della sicurezza del codice, non solo per la generazione di testo.
Le implicazioni per le aziende sono su due livelli. Il primo riguarda chi sviluppa software internamente: anche una PMI con un team di sviluppo di tre o quattro persone può iniziare a usare strumenti AI per fare revisioni di sicurezza del proprio codice prima del rilascio in produzione. Non sostituisce un audit professionale, ma può intercettare categorie di errori comuni che altrimenti passerebbero inosservati. Pensiamo a un’azienda SaaS italiana con un gestionale cloud per i propri clienti: integrare una fase di analisi AI nel processo di sviluppo potrebbe ridurre il rischio di esporre dati sensibili per via di una falla non rilevata.
Il secondo livello riguarda chi non sviluppa software ma lo usa, ovvero la quasi totalità delle aziende. Questo tipo di collaborazione tra aziende AI e produttori di software accelera il ritmo con cui le vulnerabilità vengono scoperte e corrette. Significa che gli aggiornamenti di sicurezza arriveranno più frequentemente e che tenersi aggiornati diventa ancora più importante. Un’azienda che usa Firefox come browser aziendale e rimanda gli aggiornamenti per settimane si espone a rischi che potrebbero essere stati già identificati e corretti.
Vale anche la pena notare che questo caso rappresenta un uso dell’AI che non ha nulla di speculativo: è misurabile, verificabile e produce risultati concreti. Le 22 vulnerabilità trovate da Claude sono state confermate da Mozilla, che le ha ricevute attraverso il proprio programma di bug bounty. Non si tratta di un annuncio di capacità future, ma di un risultato già ottenuto.
Perche conta. Se la vostra azienda ha un team di sviluppo, anche piccolo, chiedete ai vostri sviluppatori se stanno già usando strumenti AI per la revisione del codice e, in particolare, per l’analisi della sicurezza. Strumenti come GitHub Copilot, Cursor o le API di Claude possono essere integrati nei flussi di sviluppo esistenti con costi contenuti, spesso inferiori a quelli di un abbonamento software aziendale standard. Se invece usate solo software di terzi, verificate che la policy aziendale preveda l’aggiornamento automatico dei browser e delle applicazioni critiche.