Browser sotto controllo: Chrome chiude falle critiche, Brave sfida le mappe e Firefox blocca l’IA

Febbraio 2026 segna un punto di convergenza interessante nel mondo browser: la sicurezza torna al centro con patch rapide e mirate, mentre l’intelligenza artificiale smette di essere un “pacchetto obbligatorio” e diventa una scelta configurabile, almeno per chi la usa davvero e sa cosa sta attivando. In questo scenario, Chrome fa quello che ci si aspetta dal browser più diffuso: chiude vulnerabilità e stabilizza la base installata su desktop e mobile, con un ritmo di rilascio che coinvolge Stable, Early Stable, Beta, Dev e canali enterprise. Brave si muove su un fronte diverso, più infrastrutturale: con la Place Search API prova a diventare la fonte “neutrale” per applicazioni cartografiche e servizi basati su punti di interesse, sfruttando un indice proprietario che vuole ridurre la dipendenza da Big Tech. Firefox, invece, risponde a una critica ormai strutturale: l’AI non può essere una feature che entra dalla porta principale senza chiedere permesso. Con i nuovi AI Controls Mozilla introduce un pannello che permette di disattivare completamente l’intelligenza artificiale o di abilitare solo ciò che serve, lasciando il resto bloccato. Il risultato non è soltanto una somma di changelog. È una fotografia del 2026: un web più complesso, più esposto, più “AI-driven”, ma anche più regolato dalle preferenze dell’utente e dalle esigenze di chi sviluppa servizi sopra il browser, non solo dentro il browser.

Patch di sicurezza in Chrome: tre CVE high e una catena di canali

La novità più immediata è la release Stable desktop 145.0.7632.116/117 per Windows, macOS e Linux, che include tre correzioni classificate ad alta gravità. La prima, CVE-2026-3061, interviene su un out-of-bounds read nel modulo Media, una classe di bug che può diventare pericolosa perché i componenti multimediali sono superfici d’attacco molto battute e difficili da “sterilizzare” a priori. La seconda, CVE-2026-3062, riguarda un problema analogo in Tint, mentre la terza, CVE-2026-3063, corregge un’implementazione inappropriata in DevTools, un dettaglio che spesso viene sottovalutato, ma che è rilevante perché DevTools non è solo uno strumento per sviluppatori: è una parte potente del browser, capace di interagire con debugging, ispezione e talvolta con flussi che finiscono per esporre informazioni o comportamenti non previsti. L’aspetto interessante non è solo la correzione delle CVE, ma la continuità della filiera: Chrome sottolinea che l’update include anche fix interni provenienti da audit e fuzzing, cioè quel lavoro “silenzioso” che tende a ridurre il rischio prima che si trasformi in un incidente. Accanto alla Stable, il canale Early Stable arriva alla 146.0.7680.31/.32, mentre il Beta desktop si allinea alla 146.0.7680.31. Il canale Dev tocca la milestone 147 su desktop e Android, segnale che la macchina di Chrome continua a spingere su sperimentazioni e nuove funzioni senza interrompere il flusso di patch. Su Android, la coerenza è quasi più importante del numero: vedere release come 146.0.7680.31 e 145.0.7632.120 con correzioni di stabilità e performance in parallelo alle build desktop riduce la frammentazione e porta la stessa postura di rischio anche sul canale mobile, dove gli utenti sono più esposti a link, contenuti embedded, messaggistica e surface area web “mista”.

Chrome su iOS e la questione della stabilità percepita

Chrome su iOS si muove con la propria logica, vincolata dal motore sottostante imposto dall’ecosistema Apple, ma resta rilevante perché “Chrome su iPhone” è spesso una scelta di abitudine più che di motore. Le release Stable 146.0.7680.24 e Beta 146.0.7680.25 vengono presentate come miglioramenti generali di stabilità. Qui il valore, per l’utente avanzato, non è tanto la feature nuova, quanto la riduzione di crash e regressioni che spesso arrivano quando si intrecciano WebView, estensioni, password manager e sincronizzazioni.

Extended Stable: perché l’enterprise continua a chiedere un ritmo diverso

Un punto chiave del mese è il canale Extended Stable, che aggiorna alla 144.0.7559.225 su Windows e macOS. Questo canale esiste per un motivo semplice: molte organizzazioni non possono inseguire ogni minor release, non perché non vogliano la sicurezza, ma perché devono governare compatibilità applicativa, policy, estensioni interne e integrazioni. Extended Stable è la risposta di Google alla realtà enterprise: un compromesso tra velocità e prevedibilità, con un ciclo più controllato che permette rollout e test più lineari.

ChromeOS: patch di piattaforma e l’importanza del LTS

Sul fronte ChromeOS, la release Stable raggiunge 16552.47.0 con browser 145.0.7632.154, includendo correzioni high che toccano kernel, WebGPU e driver USB CDC-ACM. Qui il tema cambia: non è solo “browser”, è sistema operativo. Quando il kernel entra nella lista delle correzioni, la posta si alza perché si parla di componenti che, se sfruttati, possono impattare isolamento, permessi e integrità del dispositivo. Il canale Beta si muove tra 16581.17.0 con browser 146.0.7680.22 e 16552.42.0 con browser 145.0.7632.115, a conferma del modello a canali che consente di testare senza spingere tutto subito sulla base stabile. Il punto più interessante, per scuole e imprese, resta però LTS-138, che aggiorna alla 138.0.7204.305 con platform 16295.90.0 e applica 13 correzioni di sicurezza, incluse vulnerabilità come un use-after-free in CSS, un integer overflow in V8 e una CVE legata alle Digital Credentials. Quando un OS “leggero” come ChromeOS entra in modalità LTS, il messaggio è chiaro: anche qui esiste una domanda di continuità lunga, soprattutto per parchi macchine che non possono essere sostituiti ogni 12 mesi. ChromeOS Flex beneficia dello stesso schema, rafforzando l’idea che Google stia trattando Flex non come un esperimento, ma come una gamba reale per riutilizzare hardware esistente in modo più sicuro.

Brave Place Search API: la mappa come servizio e l’indice come potere

Se Chrome lavora sull’urgenza della sicurezza, Brave lavora sul controllo dell’infrastruttura. La Place Search API, annunciata il 26 febbraio 2026, nasce per un bisogno concreto: applicazioni che devono cercare luoghi e punti di interesse in modo rapido, coerente e con latenza bassa, senza appoggiarsi sempre agli stessi vendor. Brave dichiara un accesso a oltre 200 milioni di punti di interesse, con ricerche che possono essere vincolate a un centro e a un raggio fino a 20 km, con query opzionale e una modalità di esplorazione che permette di ottenere risultati rilevanti anche senza una stringa esplicita.

La promessa tecnica è che l’endpoint sia più veloce delle ricerche generiche di luoghi e restituisca risultati coerenti con la posizione. In pratica, Brave sta cercando di rendere “banale” ciò che oggi, per molti sviluppatori, è una dipendenza: la search e la local search come servizio cloud, spesso costoso e poco trasparente. Il contesto, però, è ancora più grande. Brave spinge l’idea di un indice indipendente da 40 miliardi di pagine, aggiornato con oltre 100 milioni di pagine al giorno, e racconta l’adozione delle API come crescita rapida, con miliardi di chiamate settimanali. Questo tipo di numeri non serve solo a impressionare: serve a rassicurare chi costruisce un prodotto e non vuole dipendere da un servizio che domani cambia pricing o policy. Se Brave vuole essere un fornitore credibile, deve dimostrare scala, uptime e governance.

Non a caso vengono citati elementi come zero data retention, uptime 99,99%, certificazioni e integrazioni enterprise. L’idea è posizionare la Search API e le estensioni, come LLM Context API e strumenti per agenti AI, come mattoni per un web “programmabile” che non passi sempre dai soliti snodi. Place Search è un pezzo specifico, ma la direzione è chiara: Brave vuole diventare un layer API per ricerca, contesto e geografia, non solo un browser.

Firefox AI Controls: la risposta più politica del mese

Mozilla, con i nuovi AI Controls rilasciati il 24 febbraio 2026 su Firefox desktop, fa un’operazione diversa: non vende potenza, vende controllo. Il pannello in Impostazioni consente di attivare Blocca miglioramenti AI, che disattiva tutte le funzionalità AI attuali e future, oppure di gestire singolarmente le feature impostandole su Disponibile, Abilitato o Bloccato. La differenza è fondamentale perché affronta un problema che nel 2026 è diventato reale: molte funzionalità AI arrivano come default, e l’utente deve inseguire toggle nascosti o affidarsi a estensioni. Firefox prova a invertire il rapporto di forza: l’AI diventa un modulo e l’utente decide se usarlo, dove usarlo e soprattutto se non usarlo affatto.

Le funzionalità citate includono traduzioni automatiche, generazione di alt text per immagini nei PDF, suggerimenti AI per gruppi di schede, anteprime link e chatbot AI nella barra laterale. Questo elenco è importante perché mostra la direzione del browser moderno: l’AI non è solo un chatbot, è una serie di micro-servizi che interferiscono con accessibilità, produttività e navigazione. Dare all’utente il diritto di scegliere significa anche riconoscere che l’AI è un trade-off: utile in certi casi, invasiva in altri. Per l’utente avanzato, il valore è immediato. Se vuoi le traduzioni ma non vuoi la sidebar chatbot, puoi farlo. Se vuoi bloccare tutto per policy personale o aziendale, puoi farlo senza patchwork. E questa granularità, in un panorama dove spesso l’AI viene spinta come “inevitabile”, è un posizionamento identitario che distingue Firefox dagli altri due attori del mese.

Cosa cambia davvero per utenti esperti e sviluppatori

Mettendo insieme i tre filoni, febbraio 2026 racconta una maturità diversa del settore browser. Chrome continua a essere la base di massa e, proprio per questo, il suo lavoro sui bug high e sui canali enterprise ha un impatto sistemico. Aggiornare Chrome non è un consiglio generico, è una misura concreta di riduzione del rischio per milioni di endpoint. Brave parla agli sviluppatori e alle aziende che costruiscono servizi: Place Search API è una scorciatoia verso un prodotto “mappe e luoghi” che non dipenda da un singolo fornitore. Se davvero l’endpoint è più veloce e più mirato, diventa un vantaggio competitivo per app locali, raccomandazioni e strumenti di geolocalizzazione. Firefox, infine, parla a chi non vuole un browser che decide per lui. AI Controls è una mossa che intercetta un sentimento reale: l’utente vuole scegliere. E, nel 2026, la scelta sull’AI è diventata una questione di privacy, di UX e perfino di fiducia.

Prospettiva 2026: sicurezza proattiva, API come infrastruttura, AI come preferenza

La direzione complessiva è netta. Il browser non è più solo un client web, è un sistema operativo leggero con API, servizi, modelli e politiche. Chrome consolida l’idea di sicurezza proattiva e canali controllati per l’enterprise. Brave tenta di trasformare ricerca e luoghi in un’infrastruttura alternativa, pronta anche per LLM e agenti. Firefox scommette sul controllo dell’AI come valore competitivo. Se febbraio 2026 è un indicatore, la partita dei prossimi mesi non sarà solo su prestazioni e nuove funzioni, ma su chi riesce a bilanciare tre pressioni simultanee: ridurre il rischio, abilitare servizi programmabili, rispettare la volontà dell’utente. E nel web che sta arrivando, quello che sembra un semplice toggle nelle impostazioni potrebbe diventare il vero elemento di differenziazione.