MozillaがClaude Mythosプレビューを使ってFirefoxの数百の脆弱性を発見・修正
要約
MozillaがAnthropic社のClaude Mythosプレビューへのアクセス権を活用し、Firefoxブラウザで数百の脆弱性を発見・修正したことが明らかになった。従来、AIが生成するセキュリティバグレポートは品質が低く、プロジェクトメンテナーに不要な負担をかけていた。しかし、わずか数ヶ月でこの状況が劇的に改善された。その理由は2つの要因による。第一に、モデルの能力が大幅に向上したこと、第二に、AIを活用する技術が飛躍的に改善されたことで、AIを操縦し、スケールし、積み重ねて大量のシグナルを生成しながらノイズを除去できるようになった。発見された脆弱性には、20年前のXSLTバグや15年前の<legend>要素のバグなど、長期間潜在していた問題も含まれている。興味深いことに、AIによる多くの攻撃試行はFirefoxの既存の多層防御メカニズムによってブロックされており、これはセキュリティ対策の有効性を示している。Mozillaは2025年を通してFirefoxで月20-30個のセキュリティバグを修正していたが、4月には423個という驚異的な数に跳ね上がった。
洞察・気づき
この事例は、AIのセキュリティ分野への応用において重要な転換点を示している。従来のAIセキュリティ監査は誤検知が多く実用性に欠けていたが、最新のAIモデルと改良された活用技術の組み合わせにより、実際に価値のある脆弱性発見が可能になった。特に注目すべきは、20年や15年といった長期間発見されなかった脆弱性まで特定できた点で、これは人間の監査では見逃しがちな古いコードベースの問題をAIが体系的に発見できることを示している。月20-30個から423個への急増は、AIセキュリティ監査の効率性を数値で示した重要な事例である。また、既存の防御メカニズムが多くの攻撃をブロックしたという結果は、AIによる脆弱性発見と従来のセキュリティ対策が相補的に機能することを証明している。この成功事例は、他のソフトウェア企業やオープンソースプロジェクトにとってAIセキュリティ監査導入の強力な動機となり、業界全体のセキュリティレベル向上につながる可能性が高い。ただし、AIの能力向上に伴い、悪意ある攻撃者も同様の技術を利用できるようになるため、防御側と攻撃側の技術競争が激化することも予想される。