Firefox 150: Mythos AI trova 271 zero-day, cambio paradigmatico

Claude Mythos AI ha trovato 271 zero-day in Firefox 150. Ecco perché segna un cambio paradigmatico nella cybersecurity e cosa significa per i difensori.

Contenuto

Firefox 150: Mythos AI trova 271 zero-day, cambio paradigmatico
Firefox 150: Mythos AI trova 271 zero-day, cambio paradigmatico

Mozilla ha rilasciato Firefox 150 con fix per 271 vulnerabilità zero-day identificate da Claude Mythos Preview durante una singola valutazione nella settimana del 15 aprile 2026. L'intervento segna un cambiamento significativo nel modo in cui i difensori possono affrontare la scoperta delle vulnerabilità, riducendo tempi e costi rispetto all'expertise umana tradizionale.

Il contesto: la collaborazione Mozilla-Anthropic da febbraio 2026

Da febbraio 2026 il team di Firefox collabora con Anthropic per testare il browser tramite modelli AI frontier. L'accordo rientra in Project Glasswing, il programma di accesso controllato a Mythos annunciato il 7 aprile 2026. La partnership ha prodotto risultati concreti già con Firefox 148, quando Claude Opus 4.6 aveva identificato 22 bug security-sensitive, di cui 14 classificati come high-severity.

Per comprendere la scala del cambiamento, basta confrontare i numeri: nel 2025 Mozilla ha risolto circa 73 vulnerabilità high-severity per l'intero anno. Mythos ne ha trovate 271 in una singola valutazione su Firefox. Il modello ha ottenuto il 93,9% su SWE-bench e il 97,6% su USAMO, dimostrando capacità di ragionamento avanzate applicate alla sicurezza del codice.

Le capacità tecniche di Mythos: dalla scoperta all'exploit

Nella JavaScript shell di Firefox, Mythos ha trasformato il 72,4% delle vulnerabilità identificate in exploit funzionanti, ottenendo il controllo dei registri nell'11,6% dei tentativi. Sul test set Firefox ha prodotto 181 exploit funzionanti e ottenuto il controllo dei registri in 29 casi. Per confronto, Opus 4.6 sullo stesso testbed era riuscito a produrre solo 2 exploit riusciti.

Secondo i dati forniti da Mozilla, il costo per 1.000 scansioni OpenBSD che hanno trovato "diverse dozzine" di findings è stato inferiore a 20.000 dollari, mentre una full n-day exploit reproduction è costata meno di 1.000 dollari. Questi numeri indicano una drastica riduzione dei costi rispetto ai metodi tradizionali di security research.

L'UK AI Security Institute ha valutato Mythos capace di eseguire attacchi di rete multi-stage in modo autonomo. Nella simulazione di attacco corporate network "The Last Ones" da 32 step, il modello ha completato l'attacco in 3 tentativi su 10.

Bug storici: 27 anni in OpenBSD, 17 in FreeBSD

Claude Mythos ha trovato vulnerabilità che eludevano i ricercatori umani da decenni. In OpenBSD ha individuato un bug TCP vecchio di 27 anni. In FFmpeg ha scoperto una vulnerabilità H.264 risalente a 16 anni fa. In FreeBSD ha identificato una flaw NFS RPC (CVE-2026-4747) vecchia di 17 anni.

Questi ritrovamenti dimostrano che l'IA non si limita a replicare pattern noti, ma può analizzare basi di codice complesse con una sistematicità che l'approccio umano fatica a eguagliare per scala. Come ha scritto il team Firefox citando la necessità di "shake off the vertigo and get to work", i numeri impongono una riflessione sulle metodologie di sicurezza.

La disclosure wave: oltre 1.000 vulnerabilità, il 99% non patchate

Le 271 vulnerabilità di Firefox rappresentano solo una frazione del lavoro complessivo di Mythos. Il modello ha trovato oltre 1.000 vulnerabilità totali su Firefox, Chrome, Linux, FreeBSD, OpenBSD e librerie crittografiche. Di queste, oltre il 99% non risulta ancora patchato.

Anthropic ha adottato una timeline di responsible disclosure di 90+45 giorni. Nella finestra temporale tra la disclosure e il rilascio delle patch, i sistemi esposti rimangono potenzialmente vulnerabili. Firefox è stato il primo major target a completare il ciclo di fix, con la patch per Android datata 15 aprile 2026.

Il cambio di prospettiva secondo Mozilla e Bruce Schneier

In un post pubblicato martedì, Mozilla ha scritto che "defenders finally have a chance to win, decisively". Il team ha però anche ammonito: "For a hardened target, just one such bug would have been red-alert in 2025, and so many at once makes you stop to wonder whether it's even possible to keep up."

La domanda centrale è se la tecnologia favorisca attaccanti o difensori. Bruce Schneier ha commentato: "Assuming the defenders can patch, and push those patches out to users quickly, this technology favors the defenders." La chiave risiede nella velocità di risposta: trovare le vulnerabilità è solo il primo passo, la capacità di distribuire le patch determina l'impatto effettivo.

Mozilla ha anche precisato: "We haven't seen any bugs that couldn't have been found by an elite human researcher." La differenza non sta nella qualità dei ritrovamenti, ma nella scala e nei costi. Ciò che prima richiedeva anni di expertise umana ora è diventato scalabile tramite automazione intelligente.

Le implicazioni per l'ecosistema sicurezza

Il paradigma tradizionale della cybersecurity vedeva gli attaccanti avvantaggiati: bastava trovare un singolo bug per compromettere un sistema. I difensori dovevano invece proteggere ogni possibile punto di ingresso. Mythos rovescia questa dinamica rendendo la scoperta sistematica delle vulnerabilità un'operazione routine ad alto volume.

La vera sfida nei prossimi 90-135 giorni riguarderà la gestione della disclosure wave. Mentre Firefox ha completato il ciclo di patch, le oltre 1.000 vulnerabilità identificate su Linux, BSD, FFmpeg e altre piattaforme attendono ancora fix. La finestra temporale crea un periodo di rischio elevato per i sistemi non ancora aggiornati.

L'aspetto economico è altrettanto rilevante. Con costi inferiori a 1.000 dollari per una exploit reproduction completa, la barriera all'ingresso per il security testing si abbassa drasticamente. Questo rende accessibili audit di sicurezza approfonditi anche a organizzazioni con budget limitati, ma contemporaneamente democratizza strumenti potenzialmente dual-use.

Domande frequenti

Cos'è Claude Mythos Preview?
Claude Mythos Preview è un modello AI frontier di Anthropic annunciato il 7 aprile 2026, accessibile tramite il programma Project Glasswing. Ha ottenuto 93,9% su SWE-bench e 97,6% su USAMO, dimostrando capacità avanzate di analisi del codice e discovery di vulnerabilità.
Quante vulnerabilità ha trovato Mythos in Firefox?
Mythos ha identificato 271 vulnerabilità zero-day in Firefox 150 durante una singola valutazione. In precedenza, Claude Opus 4.6 ne aveva trovate 22 in Firefox 148, di cui 14 classificate come high-severity.
Quali bug storici ha scoperto Mythos?
Il modello ha individuato un bug TCP in OpenBSD vecchio di 27 anni, una vulnerabilità H.264 in FFmpeg risalente a 16 anni fa, e una flaw NFS RPC in FreeBSD (CVE-2026-4747) vecchia di 17 anni.
Quante vulnerabilità totali ha trovato Mythos?
Oltre 1.000 vulnerabilità totali su Firefox, Chrome, Linux, FreeBSD, OpenBSD e librerie crittografiche. Di queste, oltre il 99% non è ancora stato patchato.
Qual è la timeline di responsible disclosure di Anthropic?
Anthropic adotta una timeline di 90+45 giorni per la responsible disclosure, dando ai vendor il tempo di sviluppare e distribuire le patch prima della pubblicazione dei dettagli sulle vulnerabilità.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Fonti

Link utili

Apri l'articolo su DeafNews