AnthropicのAI「Mythos」がFirefox 150で271件の脆弱性を発見、Mozillaは「防御側の勝利」と評価

Mozillaは、Anthropicが開発したAIセキュリティツール「Mythos」のプレビュー版（Claude Mythos Preview）を活用し、最新版のFirefox 150において、合計271件ものセキュリティ脆弱性を発見したと報告しました。これは、これまでのFirefoxのアップデートで修正されてきた数十件の脆弱性と比較しても、記録的な数です。

この取り組みは、MozillaがAnthropicと継続的に協力する一環として行われました。以前、MozillaはAnthropicのOpus 4.6モデルを用いてFirefox 148をスキャンし、22件の脆弱性を発見しています。今回、Claude Mythos Previewを用いることで、初期評価の段階で271件もの脆弱性を特定することに成功しました。

Mozillaは、この大量の脆弱性発見について、「このような機能が防御側のより多くの手に渡るにつれ、不安を感じるチームも増えている」と述べつつも、これを「防御側にとって朗報」と位置づけています。同社は、AIによる脆弱性発見能力が、これまで人間による分析に頼っていたサイバーセキュリティのギャップを埋め、攻撃側の長期的な優位性を損なう「転換点」となると強調しています。

また、MythosのようなAIは、優秀なセキュリティ研究者がソースコードを徹底的に分析するのと同等か、それ以上の能力を持ち、人間が発見できる脆弱性の種類や複雑さで、未発見のバグはないと報告されています。これにより、サイバーセキュリティ対策は、単なる「脆弱性をゼロにすること」ではなく、「脆弱性を悪用するコストを極めて高くすること」を目指す方向性が強化されると説明されています。

---

背景

サイバーセキュリティの分野では、攻撃者と防御側が常に互角の戦いを繰り広げてきました。これまで、脆弱性の発見は主に人間の専門家（セキュリティ研究者）による時間と労力をかけた分析に依存していました。しかし、AI技術の進化により、この発見プロセスが劇的に変化しつつあります。

重要用語解説

• AIセキュリティツール: 人工知能を活用し、ソフトウェアのソースコードを自動的にスキャンし、セキュリティ上の欠陥（脆弱性）を検出するツール。手作業では困難な大規模な分析を可能にする。
• 脆弱性（ぜいじゃくせい）: ソフトウェアやシステムに存在する、悪意のある第三者によって悪用される可能性のある欠陥や弱点のこと。これを突かれると情報漏洩やシステム停止につながる。
• ゼロデイ脆弱性: ソフトウェアベンダーや一般ユーザーに知られていない、未修正の脆弱性のこと。発見された直後から悪用されるため、対応が非常に困難である。

今後の影響

AIによる脆弱性発見の効率化は、サイバーセキュリティの防御側（ディフェンダー）に決定的な優位性をもたらす可能性があります。これにより、ソフトウェアベンダーはより迅速かつ大規模なパッチ適用を迫られ、セキュリティ対策のコストと難易度が根本的に変化すると予想されます。今後のAIモデルの進化が、セキュリティ業界の標準的な防御手法を書き換える鍵となります。