L’IA non è solo fonte di preoccupazioni. O, meglio, lo è, ma se ben utilizzata può rivelarsi uno strumento potente anche e soprattutto per migliorare la sicurezza. Lo dimostra Claude Mythos, il modello di intelligenza artificiale di Anthropic, in grado di identificare le vulnerabilità critiche di un software. Mozilla lo ha utilizzato proprio per questo con risultati a dir poco sorprendenti.
Uno strumento molto potente
La settimana scorsa Raffi Krikorian, direttore tecnico di Mozilla, ha pubblicato un articolo sul New York Times dal titolo significativo “È la fine di Internet come la conosciamo”. La tesi di fondo è che per decenni scrivere software era difficile e trovare le sue falle lo era ancora di più. Questa doppia difficoltà ha creato una sorta di equilibrio che ha tenuto la rete ragionevolmente al sicuro. Ora quell’equilibrio si sta rompendo, perché i nuovi modelli di intelligenza artificiale possono fare entrambe le cose con una velocità e una precisione senza precedenti.
Claude Mythos, infatti, è un modello di intelligenza artificiale talmente potente da individuare rapidamente le falle nei software. È indubbiamente un aspetto positivo, ma messo nelle mani sbagliate è uno strumento pericolosissimo. Ed è per questo che Anthropic ha deciso di non renderlo disponibile al pubblico. Ha invece concesso l’accesso a oltre cinquanta grandi organizzazioni, tra cui Amazon, Apple, Microsoft, Google e JPMorgan Chase, nell’ambito di un’iniziativa di difesa informatica chiamata Project Glasswing. Mozilla è tra le realtà che hanno potuto testare il modello in anticipo, e i risultati parlano da soli.
Indice:
I numeri di Firefox 150
La collaborazione tra Mozilla e Anthropic non è nuova. A febbraio il team di Firefox aveva già utilizzato il modello Opus 4.6 di Anthropic per analizzare il codice del browser, individuando 22 vulnerabilità che erano poi state corrette in Firefox 148. Si trattava già di un risultato rilevante. Con Mythos Preview, applicato alla versione successiva del browser, il numero è salito a 271 vulnerabilità identificate e corrette prima del rilascio pubblico di Firefox 150, avvenuto questa settimana.
Bobby Holley, direttore tecnico di Firefox, ha descritto la sensazione di fronte a quei numeri come una vera e propria vertigine. Firefox è da sempre uno dei browser più attenti alla sicurezza, ma Mythos ha trovato 271 vulnerabilità che erano rimaste invisibili.
Segui l'Intelligenza Artificiale su Telegram, ricevi news e offerte per primo
4 x Xiaomi Smart Tag
Smart Tracker, compatibile con Apple Find My e Google Android Find Hub
Come è stata condotta l’analisi
Per capire la portata di questo risultato, è utile sapere come si trovano normalmente le vulnerabilità nel software. I metodi tradizionali sono due. Il primo è il cosiddetto “fuzzing”, una tecnica automatizzata che consiste nell’inondare il programma di dati casuali o malformati per vedere dove non funziona. È efficace, ma copre il codice in modo disomogeneo e non ragiona sulla logica del programma. Il secondo metodo è l’analisi manuale da parte di ricercatori esperti, capaci di leggere il codice e intuire dove potrebbero nascondersi i problemi. Questo approccio è più preciso, ma lento e limitato dalla disponibilità di professionisti altamente specializzati.
Mythos Preview opera in modo diverso. Secondo la documentazione tecnica pubblicata da Anthropic, il modello viene avviato in un ambiente isolato da Internet insieme al codice sorgente del software da analizzare. Gli viene poi impartita un’istruzione essenziale, come “trova una vulnerabilità in questo programma”, e lo si lascia lavorare. Il modello legge il codice, formula ipotesi, esegue il software per verificarle e produce un rapporto completo non solo con le vulnerabilità rilevate, ma anche con la dimostrazione pratica di come la falla potrebbe essere sfruttata. Tutto senza intervento umano.
Mozilla sottolinea un dato in parte rassicurante. Finora non è emersa nessuna categoria o livello di complessità di vulnerabilità che gli esseri umani possano trovare e che il modello non sia in grado di rilevare. Questo significa che Mythos non scopre falle di natura diversa rispetto a quelle che troverebbero i migliori ricercatori umani, ma le individua molto più in fretta e su scala molto più ampia.
Segui l'Intelligenza Artificiale su Telegram, ricevi news e offerte per primo
Cosa cambierà in futuro?
La vera novità non riguarda solo Firefox. Come ha scritto Krikorian sul New York Times, per decenni la difficoltà nel trovare le falle ha rappresentato una protezione implicita per tutto il software connesso a Internet. Con l’intelligenza artificiale che abbassa drasticamente il costo di questa ricerca, quell’equilibrio viene meno. E il problema riguarda in particolare il software sviluppato senza competenze di sicurezza, come quello prodotto oggi da milioni di persone grazie agli strumenti di “vibe coding”, che permettono anche a chi non ha mai scritto una riga di codice di creare applicazioni attraverso semplici descrizioni in linguaggio naturale. Queste applicazioni, spesso prive di qualsiasi revisione di sicurezza, potrebbero diventare bersagli facili.
Holley vede però in tutto questo anche una ragione di speranza. Se individuare le vulnerabilità diventa economico per tutti, anche i difensori ne traggono vantaggio, perché possono correggere i problemi prima che vengano sfruttati. Mozilla conclude che i difetti nel software sono un insieme finito, e che si sta entrando in un’era in cui sarà finalmente possibile trovarli tutti.
La vera questione rimane però quella di chi avrà accesso a questi strumenti e con quali responsabilità.
I nostri contenuti da non perdere:
- 🔝 Importante: Recensione AMD Ryzen 9 9950X3D2: fine dei giochi, è una super CPU ma per pochi eletti
- 🚨 Vuoi un notebook gaming serio senza spendere troppo? MSI Cyborg 15 con RTX 5060 è la risposta
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo