MozillaがFirefox 150の検証にAnthropicのMythosを投入したところ、修正対象は271件に達した。攻撃側が先に未知の欠陥を掘り尽くす懸念は強いが、Mozilla CTOのBobby Holley氏は「その271件に人間には見つけられない種類のバグは1件もなかった」と説明した。件数は急増したのに、脅威の質は飛躍していない。防御側に必要なのが恐怖より修正能力と運用再設計であることが示される格好となった。

AD

Firefox 150で増えたのは未知の脅威ではなく、修正待ちの在庫だった

2026年4月21日に公開されたMozillaのセキュリティアドバイザリには、Firefox 150で修正された脆弱性が並ぶ。Mozillaの公式ブログによれば、そのうち271件はAnthropicとの継続的な協業で、Claude Mythos Previewの評価から見つかったものだった。Holley氏は当初この数に「めまいを感じた」と書いている。件数だけ見れば異常事態だが、脆弱性の中身を精査した結果、景色はかなり違って見えた。

Holley氏は「エリート級の人間研究者が見つけられないバグはまだ見ていない」と述べた。つまりAIが突然、従来の知見では分類不能な攻撃面を作り出したわけではない。人間が時間と人員の制約で掘り切れなかった欠陥を、機械が短期間で大量に拾い上げた形だ。発見数の多さは脅威の拡大ではなく、未処理在庫の可視化として読める。

Mozillaは3月にも、AnthropicのClaude Opus 4.6を使った先行テスト結果を公表していた。その時点ではFirefox 148向けに22件のセキュリティ関連バグ、22件のCVE、さらに90件の一般バグが見つかっている。Opus 4.6からMythos Previewへ進むと、検出規模は段階的というより一段跳ね上がった。探索密度そのものが変わったと見るほうが実態に近い。

Firefox 150のアドバイザリには、Anthropicの報告分と並んでNan Wang氏、Inseo An氏、Tomoya Nakanishi氏、Mozilla Fuzzing Teamの報告も載っている。対象領域もDOM、WebRTC、JavaScript Engine、WebAssembly、Networking、NSS、WebGPUまで広い。AIが既存の研究者やファジングを押し出したというより、従来の検出層の上に高密度の探索レイヤーが1枚増えた。守る側の視点では、手持ちの道具が増えたという理解が最も正確だ。

ファジングが届きにくい場所を、Mythosはコード読解で埋めていく

AnthropicのFrontier Red Teamによれば、Claude Mythos Previewは研究プレビュー段階でありながら、主要オペレーティングシステムと主要ブラウザの全てでゼロデイ脆弱性を見つけた。Project Glasswingの説明では、脆弱性発見と悪用の能力が「最も熟練した人間を除けば上回るレベル」に達したと位置付けられている。かなり踏み込んだ表現だが、Mozillaの実地結果はその主張に一定の裏付けを与えた。研究室内の評価に閉じていない点が大きい。

Anthropicは防御目的の協業先に対し、最大1億ドル分の利用クレジットを提供すると表明した。さらに40を超える組織へアクセスを広げている。単発のデモではなく、防御インフラとして導入先を増やす計画だ。セキュリティ企業やソフトウェアベンダーが実運用で使う前提に、すでに軸足が移っている。攻撃側との脆弱性検出速度競争が現実化したことを示しており、防御側が先手を打つほど、高価なゼロデイを秘密裏に抱える攻撃側の優位は薄れていく。

Anthropicの技術報告とMozilla側の説明は、Mythosの強みをほぼ同じ地点に置いている。従来のファジングは、大量の入力を自動生成してクラッシュや異常挙動を拾う作業に強い。一方で、複数の前提条件をまたぐロジック不備や、過去の修正差分を読んで類似箇所を洗う仕事は苦手だ。Mythosはソースコードを読み、仮説を立て、実行で確かめ、再びコードへ戻る流れを回せるため、その隙間へ入り込む。

Frontier Red Teamが公表したCyberGymの結果では、Mythos Previewが83.1%、Claude Opus 4.6が66.6%だった。さらにOSS-Fuzz(OSS脆弱性発見ツール)のコーパスを使った社内評価では、完全な制御フロー乗っ取りに当たるtier 5を、完全修正済みターゲット10件で達成したという。これが専用の静的解析器ではなくコード理解を伴うエージェント的試行の延長で出てきた点が重要だ。探索の質が入力総当たりから意味理解へ移っている。

2月に公開されたAnthropicのOpus 4.6のゼロデイ報告でも、GhostScript、OpenSC、CGIFが具体例として挙げられていた。モデルはコミット履歴を読み、危険関数の利用箇所を探し、アルゴリズム仕様を追いながら何年も残っていた欠陥へ到達した。ランダム入力の山を積む方法では届きにくい経路を、コード読解で短くしている。MythosがFirefoxで大量発見に至った背景も、この能力の延長線上にある。

AD

Googleの先行事例が示す、検出コスト低下と防御側の持久力

Google Project ZeroとGoogle DeepMindのBig Sleepは、2024年にSQLiteの実運用コードから未知のメモリ安全性バグを見つけたと公表した。Googleはこれを、広く使われる実ソフトウェアでAIエージェントが未知の悪用可能バグを見つけた最初の公開例と位置付けた。SQLiteのような基盤ソフトウェアへの適用が成功すれば、AI検出の影響範囲は業界全体に広がる。Mozillaの271件は、その流れが単発ではないことを補強する。

Google Security Blogは2024年、OSS-FuzzにAI生成ハーネスを導入した結果も公開している。272件のC/C++プロジェクトから26件の脆弱性を発見し、約20年間潜伏していたOpenSSLの欠陥にも到達した。人手で書くには時間のかかるハーネス作成が自動化されれば、探索対象の面積は急に広がる。ファジングの効率改善ですらこれだけ効くなら、コード推論型のモデルが防御側へ与える影響はさらに大きい。

Holley氏は、従来の構図では攻撃者が数カ月分の熟練研究者の労力を一点集中し、防御側が広い面を受け止めていたと説明した。もし機械が人間研究者並みのコード推論を低コストで回せるなら、発見コストそのものが下がる。高価なゼロデイを秘密裏に抱える優位は薄れ、先に見つけて先に塞ぐ競争へ寄っていく。この変化は攻撃の派手さより、防御の持久力を底上げする。

Mozillaの評価が現実的なのは、楽観論だけで終わっていないからだ。2月以降、同社は「昼夜を問わず」Firefoxの潜在脆弱性修正に集中してきたという。大量発見は朗報だが、修正、検証、リリース、周辺影響の確認まで含めれば開発組織の負荷は相当重い。検出コストが下がるほど、今度は修正運用の能力差がそのまま防御力の差になる。

AI時代のブラウザ開発で問われるのは、発見力より修復力の設計だ

Firefox 150のリリースノートには、ariaNotify()対応、color-mix()の拡張、sizes="auto"対応、メディア擬似クラス追加など、通常の機能更新も並んでいる。ベータ版ではローカルネットワークアクセス制限の全ユーザー展開やPDFページ整理機能も告知されていた。表向きはいつものブラウザ更新だが、裏側では271件の脆弱性修正を同じサイクルで飲み込んでいた。機能開発と修正処理を同時並行で回す運用の重さが見える。

アドバイザリに明示されたAnthropic由来の報告には、DOM Core & HTMLのuse-after-free(解放済みメモリの不正使用)、WebAssemblyのinvalid pointer、さらに別件のuse-after-freeが含まれる。そこへMozilla Fuzzing Teamによるメモリ安全性バグの一括修正も加わった。コード推論型の検出と従来ファジングは、発見する欠陥の入口が違う。両者を同じリリース工程で束ねる体制が、これからのブラウザ開発では標準になる可能性が高い。

Holley氏はFirefoxのようなソフトウェアがモジュール化され、人間が正しさを推論できるよう設計されている点にも触れた。その前提に立てば、欠陥は有限であり、探索可能な対象として扱えるという考え方になる。AI防御の成否がコードベースの可読性に強く依存することは確かだ。人間が理解できる構造を保てる限り、AIは未知の怪物より保守作業の増幅器として働く。

Mozillaは脚注で別の危険も示している。AIが開発工程へ深く入り込むほど、コードベース自体が人間の理解限界を超えて膨らむ恐れがあるという指摘だ。バグを見つけるAIと、複雑すぎるコードを増やすAIが同時に進めば、防御側の優位は長続きしない。発見能力の向上と同じくらい、コードを人間可読に保つ設計規律が重くなる。

Firefox 150の271件は、AIが人間を不要にした数字ではない。人間研究者が理解できる欠陥を、機械が速度制約なしで掘り返し始めた数字だ。未知の脅威が急増したという話ではなく、見えていなかった在庫が一気に表面化したという話である。防御側が問われるのは検出能力の有無ではなく、それを修復へ接続する組織設計そのものなのだ。

Sources