L’industria della sicurezza informatica ha vissuto dentro una specie di liturgia tecnica ripetitiva, quasi rassicurante nella sua prevedibilità: audit manuali, penetration test trimestrali, fuzzing automatizzato, bounty program pieni di adolescenti geniali e ricercatori insonni alimentati da caffeina e narcisismo tecnico. Un ecosistema costoso, lento, altamente specializzato, costruito sull’idea implicita che trovare vulnerabilità profonde nel software fosse un’attività eminentemente umana. Faticosa. Artigianale. Quasi artistica.
Poi arriva un modello chiamato Mozilla Mythos Preview, accessibile a una cerchia ristretta di partner, e improvvisamente il numero di fix mensili in Firefox esplode da 20 o 30 a 423 in un singolo mese. Non è semplicemente un miglioramento incrementale. È una mutazione industriale. Una di quelle transizioni che il settore tende inizialmente a ridicolizzare perché psicologicamente più comodo che affrontarne le implicazioni.
La parte più interessante della vicenda non è nemmeno il numero assoluto dei bug trovati, pur impressionante. Sono i dettagli. Vulnerabilità rimaste sepolte nel codice per 15 o 20 anni. Componenti già analizzati da team interni, penetration tester esterni, fuzzers evoluti e ricercatori indipendenti. Codice attraversato da milioni di utenti, anni di patching e decenni di scrutiny pubblico. Ed è qui che il racconto cambia tono, perché la narrativa tradizionale della cybersecurity si fondava su un assunto implicito: abbastanza occhi rendono il software sicuro. Linus Torvalds lo formulò in modo quasi poetico con la celebre frase “given enough eyeballs, all bugs are shallow”.
L’intelligenza artificiale sta dimostrando qualcosa di molto meno romantico: gli eyeballs umani hanno limiti cognitivi strutturali. I modelli no, o perlomeno li hanno in modo diverso.
Quando Mozilla racconta che una vulnerabilità nel tag <legend> è rimasta invisibile per quindici anni, il sottotesto è devastante. Non significa soltanto che gli esseri umani hanno fallito. Significa che il paradigma stesso del security research basato sull’intuizione umana potrebbe essere economicamente superato. La Silicon Valley ama parlare di “augmentation”, di AI che amplifica gli esseri umani. In realtà molte di queste piattaforme stanno entrando silenziosamente nella fase successiva: sostituzione cognitiva selettiva.
La frase più importante dell’intero post mortem, paradossalmente, non riguarda nemmeno i bug trovati ma quelli non trovati. I tentativi falliti di sandbox escape tramite prototype pollution raccontano una storia molto più sofisticata. Mozilla aveva già introdotto modifiche architetturali difensive in precedenza, e Mythos ha sbattuto ripetutamente contro quei muri. Questo dettaglio cambia il quadro strategico. Per anni il settore sicurezza ha investito enormi risorse nel rilevamento. Adesso emerge brutalmente il valore dell’hardening architetturale preventivo.
In altre parole, i modelli AI non stanno solo trovando bug più velocemente. Stanno diventando benchmark viventi della qualità architetturale di un sistema.
Ed è qui che il discorso smette di essere tecnico e diventa economico.
Per due decenni il vantaggio competitivo nella cybersecurity è stato accumulare talento raro. Hacker elite. Reverse engineers. Browser specialists. Gente capace di leggere parser XML come un romanzo russo dell’Ottocento. Costosi, difficili da assumere, ancora più difficili da trattenere. Il nuovo paradigma suggerisce invece che il vantaggio competitivo potrebbe spostarsi sull’infrastruttura operativa che orchestra i modelli. Mozilla lo dice quasi esplicitamente: “the pipeline is the product”.
Questa frase andrebbe incorniciata nelle sale board di metà industria tecnologica mondiale.
Perché il punto non è Mythos Preview in sé. Il punto è che Mozilla aveva già costruito il framework operativo con Opus 4.6. Harness. Workflow. Logging. Validazione. Prioritizzazione. Riproduzione automatica. Mythos è stato semplicemente inserito dentro una pipeline già pronta. Esattamente come sostituire un motore su una piattaforma industriale. Il modello diventa componente intercambiabile. La vera moat tecnologica si sposta sull’orchestrazione.
La cosa ricorda brutalmente quanto accaduto nel cloud computing. All’inizio tutti parlavano dei server. Poi si è capito che il vero valore era l’automazione infrastrutturale. Kubernetes non era sexy come l’hardware; ha semplicemente divorato il mercato.
La cybersecurity AI-driven sembra avviarsi verso la stessa traiettoria.
Naturalmente il settore reagirà come sempre: prima negazione, poi hype isterico, poi consolidamento oligopolistico. La fase “questa AI non è poi così impressionante” è già terminata. I numeri di Mozilla rendono la posizione scettica molto più difficile da sostenere. Non impossibile, ma certamente più fragile. Perché 271 vulnerabilità latenti non sono marketing. Sono debito tecnico concretizzato.
Curiosamente, il vero problema potrebbe emergere altrove.
Se un modello privato riesce a trovare centinaia di vulnerabilità profonde in un browser open source estremamente auditato, cosa succede nei sistemi enterprise legacy? ERP industriali scritti vent’anni fa. Middleware bancari. Software medicale. Firmware IoT prodotti da aziende che considerano ancora la sicurezza un costo amministrativo fastidioso. La risposta probabile è inquietante: una quantità astronomica di vulnerabilità dormienti.
Il settore ama ancora raccontarsi che la scarsità di exploit critici dipenda dalla relativa sicurezza dei sistemi. Più realisticamente, dipendeva dalla scarsità di ricercatori capaci di trovarli.
La differenza sembra semantica. In realtà è geopolitica.
Perché se questi modelli diventano accessibili su larga scala, l’asimmetria offensiva cambia completamente. Un tempo scoprire bug sofisticati richiedeva expertise rara. Domani potrebbe richiedere soprattutto accesso computazionale. La democratizzazione della vulnerability discovery rischia di funzionare esattamente come la democratizzazione del malware-as-a-service: abbassare brutalmente la soglia tecnica necessaria per fare danni seri.
La frase finale di Mozilla, “The current moment is a perilous one, but also full of opportunity”, ha il tono diplomatico tipico delle organizzazioni mature che cercano di non generare panico. Tradotta brutalmente nel linguaggio dei CEO significa altro: l’intera superficie digitale globale potrebbe essere molto più fragile di quanto il mercato abbia prezzato finora.
Ironicamente, la cybersecurity potrebbe diventare il primo dominio dove l’intelligenza artificiale dimostra valore economico tangibile e immediatamente misurabile, molto prima delle fantasie apocalittiche sulla AGI cosciente che domina il pianeta mentre cita Nietzsche. Un bug trovato produce ROI diretto. Una vulnerabilità eliminata riduce rischio assicurativo, compliance exposure, danni reputazionali, costi legali. CFO e board capiscono questi numeri molto più rapidamente di qualsiasi demo creativa generativa.
Il mercato lo percepirà presto. Le aziende che oggi trattano AI security tooling come un esperimento opzionale potrebbero apparire entro pochi anni come organizzazioni che nel 2005 ignoravano il cloud perché “abbiamo già i server in sede”. Frase storicamente costosa.
Resta un dettaglio quasi filosofico. Per decenni gli hacker migliori sono stati celebrati come figure semi mitologiche, una miscela di matematica, ossessione e creatività antisistema. Cinema, cultura pop e Silicon Valley hanno costruito un’intera estetica attorno a questa figura. Il ragazzino geniale che trova vulnerabilità invisibili al resto del mondo. La narrativa romantica del cyberpunk.
Adesso potrebbe emergere qualcosa di molto meno cinematografico: pipeline industriali di modelli che analizzano codice su scala planetaria, senza ego, senza sonno, senza reputazione da costruire nei forum underground. Nessun hoodie. Nessuna musica synthwave. Solo cluster GPU e log telemetry.
Una scena infinitamente meno cool. Ed enormemente più potente.
La storia tecnologica insegna che i momenti davvero rivoluzionari raramente sembrano rivoluzionari all’inizio. Appaiono come miglioramenti quantitativi. Un motore leggermente più efficiente. Una rete un po’ più veloce. Un database più scalabile. Poi improvvisamente il salto quantitativo diventa qualitativo e interi mercati collassano nella nuova normalità.
Mozilla probabilmente ha appena pubblicato uno di quei momenti.
Blog: https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/