Quando l'AI trova le vulnerabilità: cosa cambia per cybersecurity e compliance

La collaborazione tra Anthropic e Mozilla ha mostrato qualcosa di più di un semplice esperimento tecnico. Utilizzando un modello AI per analizzare il codice di Firefox sono state identificate 22 vulnerabilità reali in circa due settimane, di cui 14 classificate come ad alta gravità. Il risultato non è soltanto un progresso nella ricerca sulla sicurezza del software. È un segnale di cambiamento strutturale nel modo in cui vulnerabilità e rischi tecnologici possono essere individuati.

Per molti anni la cybersecurity si è basata su un modello relativamente stabile: audit periodici, penetration test programmati, revisione manuale del codice e analisi delle configurazioni. Questo approccio funziona quando i sistemi evolvono lentamente. Oggi però il software cambia continuamente, le infrastrutture sono distribuite e il codice viene aggiornato in modo quasi costante. La capacità umana di analizzare ogni modifica non scala con la velocità dello sviluppo.

L'esperimento condotto sul codice di Firefox suggerisce un paradigma diverso: analisi automatizzata continua supportata da modelli AI.

1. Pipeline di scoperta delle vulnerabilità

Durante l'esperimento il modello ha generato oltre cento segnalazioni di possibili bug. Solo una parte di queste è stata classificata come vulnerabilità di sicurezza effettive.

Questo tipo di pipeline è tipico dei sistemi di analisi automatica: l'AI genera un numero elevato di possibili anomalie e gli esperti umani intervengono per verificare, classificare e prioritizzare i risultati.

2. Compressione dei tempi di discovery

Uno degli aspetti più significativi riguarda la velocità con cui sono state individuate le vulnerabilità.

In molti contesti industriali la scoperta di vulnerabilità richiede settimane o mesi di audit manuali. L'automazione basata su AI riduce drasticamente questo intervallo.

3. Confronto con il ciclo annuale di vulnerabilità

Il numero di vulnerabilità ad alta gravità individuate dall'AI rappresenta circa il 20% di tutte quelle corrette in Firefox nel corso del 2025.

Il confronto non dimostra che l'AI sostituirà i ricercatori di sicurezza. Mostra invece che può moltiplicare la capacità di analisi.

Implicazioni per cybersecurity e compliance

Questo cambiamento tecnologico ha implicazioni dirette anche per il mondo della compliance. Normative europee come NIS2, DORA o l'AI Act richiedono sempre più spesso che i rischi tecnologici vengano identificati e gestiti in modo continuo. Non è più sufficiente dimostrare che esiste una policy o una procedura: è necessario dimostrare che il sistema è effettivamente monitorato.

Strumenti di analisi automatica del codice e delle infrastrutture possono produrre evidenze tecniche verificabili: vulnerabilità individuate, tempi di remediation, controlli implementati e anomalie rilevate. Queste informazioni possono diventare parte della documentazione richiesta durante audit e certificazioni.

In questo scenario il ruolo dei professionisti della sicurezza cambia. Meno tempo dedicato alla ricerca manuale di vulnerabilità elementari e più tempo dedicato alla progettazione di architetture sicure, alla definizione dei modelli di rischio e alla supervisione dei sistemi automatizzati che monitorano la sicurezza.

La sicurezza del software non diventa un'attività episodica eseguita durante un audit annuale. Diventa una proprietà continua dei sistemi digitali. L'intelligenza artificiale non elimina il lavoro degli esperti, ma modifica profondamente il loro punto di partenza: la sicurezza non è più qualcosa che si verifica occasionalmente, ma qualcosa che viene analizzato costantemente.