Mozillaは米国時間4月21日、ブラウザー最新版となる「Firefox 150」をリリースした。同バージョンでは分割表示やタブ管理、翻訳機能、内蔵PDFエディターといった主要機能が強化されているが、それ以上に重要な変更点は、AIの活用によって271件もの膨大なセキュリティの脆弱(ぜいじゃく)性が修正されたことだ。
今回修正された271件の脆弱性のうち、CVE(共通脆弱性識別子)として登録されるほど深刻なものは40件余りにとどまる。大半は緊急度が「低」または「中」と評価されたもので、個別にCVE番号が付与される段階には至っていない。それでも、過去のアップデートで修正されてきた脆弱性が通常数十件程度であったことを踏まえれば、今回の件数は極めて異例といえる。
これほど多くの欠陥を短期間で特定できた背景には、AIの存在がある。Mozillaの公式ブログによると、開発チームは、Anthropicの「Claude Mythos」プレビューの初期段階モデルを採用し、ブラウザーに潜む潜在的な脆弱性の洗い出した。Mozillaは、2月から最先端のAIモデルをセキュリティ調査に導入しており、以前も「Claude 4.6 Opus」を用いて「Firefox 148」をスキャンし、22件の脆弱性を修正している。
今回の271件全てでClaudeが何らかの役割を果たしたが、特に「CVE-2026-6746」「CVE-2026-6757」「CVE-2026-6758」の3件は、明確に同AIの功績として記録された。なかでもCVE-2026-6746は深刻度が「高」と判定されている。Mozillaはブログで、Anthropicとの継続的な協力関係の一環としてClaude Mythosのプレビューを早期に適用した結果、今回の評価期間中に特定された全ての脆弱性に対して修正を完了したと説明している。
通常、セキュリティ上の欠陥を特定するのは人間の役割だ。高度なツールを駆使するリサーチ専門家やバグハンターであっても、その作業には多大な時間と労力を要する。しかし、最先端のAIモデルは、人間と同等かそれに近い精度を維持しつつ、はるかに迅速にこのタスクを遂行できることを示した。
Mozillaは、熟練したリサーチャーでも発見不可能な脆弱性は存在しなかったと述べている。一方で、AIが人間と同じレベルのあらゆるカテゴリーの脆弱性を特定できていたことも認めており、現時点でAIをすり抜けるような欠陥は見つかっていないという。
現在、AppleやGoogle、Microsoftといった大手テック企業も「Project Glasswing」という取り組みを通じてClaude Mythosを活用しており、バグ検出におけるAIの有用性は証明されつつある。しかし、懸念も残る。Anthropicは同モデルを一般公開していないが、万一悪意のある攻撃者の手に渡れば、攻撃のレベルを劇的に引き上げてしまうリスクがある。
Noma Securityの最高情報セキュリティ責任者(CISO)を務めるDiana Kelley氏は、米ZDNETの取材に対し、Claude Mythosが精鋭のリサーチャーに匹敵する能力を持つことは、守る側と攻める側の双方に影響を与えると語った。防御側はテストとシステムの要塞化を加速できるという大きな利益を得られる。その一方で、平均的な攻撃者が、かつては高度な専門知識を必要とした手法を容易に実行できるようになり、しかも24時間体制で攻撃を仕掛けられるようになるという危うさをはらんでいる。
提供:Lance Whitney/ZDNET
この記事は海外Ziff Davis発の記事を4Xが日本向けに編集したものです。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)