【生成AI事件簿】「リリース前にAIで潰す」が防御側の新標準に、攻撃者優位のサイバーセキュリティの構造が変わるか?
小林 啓倫
経営コンサルタント
著者フォロー
フォロー中
2026.4.24(金)
経営 IT・デジタル
2026年4月21日にリリースされたFirefox 150は、サイバーセキュリティの歴史において、記念碑的な存在となるかもしれない。このウェブブラウザは、271件もの脆弱性を事前に修正してから世に出たのである。それだけバグが多い問題作だったと言いたいのではない。先日発表され、この連載でも何度か取り上げている、米Anthropicの新AIモデル「Mythos」(関連記事)の力を借りて脆弱性を潰し切ったのである。
Firefoxを手掛けるMozillaのCTO(最高技術責任者)Bobby Holleyは、同日付で公開したブログで、Mythosが大量の脆弱性を洗い出したことに、チームが目眩を覚えたと率直に書いている。これだけの脆弱性が一気に発見されるという事態は、つい昨年までであれば間違いなく緊急事態として扱われていたはずだ。
しかしMozillaは、これを緊急事態ではなく通常のリリース前作業として処理した。すべてを潰してからFirefox 150を世に送り出した。この一連の手順──AIで包括的にスキャンし、発見された脆弱性を全て修正してから新バージョンを発表する──は、おそらくこれからのサイバーセキュリティ対策のモデルケースとなるはずだ。
「AIの力を借りて、脆弱性は潰し切ってからリリースする」が当たり前の時代に?(筆者がChatGPTで生成)
Firefox 150をめぐって何が起きていたのか、なぜそれが転換点なのか、そして日本企業にとって何を意味するのか。順に見ていきたい。