最新AI「ミュトス」を使えても「バグマゲドン」に？　Firefox開発元に学ぶセキュリティ対策（1/5 ページ）

公開 2026年05月28日 12時00分

著者

小林啓倫

[ITmedia]

印刷する連載新着通知を受け取る

　4月、Webブラウザ「Firefox」を手掛ける米Mozillaが驚くべき成果を発表した。Firefoxの新バージョン「Firefox 150」において、271件の脆弱（ぜいじゃく）性を一気に発見し、修正したというのだ。

　立役者となったのが、米Anthropicが同月7日に発表した最先端のAIモデル（フロンティアモデル）「Claude Mythos Preview」（以下、Mythos）だ。「神話（Mythos）」の名を持つこのモデルを活用し、Mozillaはこれまでになかったほど大量の脆弱性を発見できた。

　Mozillaは、271件の脆弱性のうち、180件を最高レベルのsec-high（通常のWeb閲覧をしているだけでも発生してしまうほどの深刻度）、80件をsec-moderate、11件をsec-lowに分類する。

　なかには15～20年間も隠れていたバグもあり、いずれも長年のファジング（ソフトウェアに大量の異常入力を与えて不具合や脆弱性を見つける自動テスト手法）と人間による監査をすり抜けてきたものだった。同月にMozillaが修正した脆弱性は計423件に達し、同社の2025年の月間平均修正件数を約14倍上回った。

　MozillaのCTOであるBobby Holley氏は公式ブログで、最初の発見結果を見たときの感覚を「めまいを覚えた」と表現している。

　「ハードニング済みのターゲット（後述する『多層防御アーキテクチャ』や継続的な脆弱性対応の積み重ねで、新たな攻撃経路を見つけにくい状態まで防御が強化されたソフトウェアを指す）なら、2025年であれば、こんなバグが1つ見つかっただけで赤色の警報レベルだった」（Holley氏）

　この数字を受けて、業界には1つの“神話”が流れ始めている。それは「Mythosのような先端AIモデルのアクセス権さえ手に入れば安心」というものだ。これだけ大量の脆弱性を一気に発見できるようになったのは、ひとえにMythosの力であり、その力を手に入れられれば自社でも同じ対応が可能になる、というわけだ。

　しかしMozillaが26年5月7日に公開した詳細なレポートを読み込むと、この物語が半分しか正しくないことが分かる。Mythosにアクセスできる組織は他にも多数存在するが、Firefox 150のような規模で修正できた例は、現時点では確認できていない。

　サイバーセキュリティ専門メディアの「The Hacker News」は、Anthropicが一部企業にMythosを提供しながら進めるセキュリティ強化の取り組み「Project Glasswing」で発見された脆弱性のうち、実際にパッチが出たのは1％未満と指摘している。発見のフェーズはAIで爆発的にスケールしたが、修正フェーズでスケールできた組織はほとんどなかったわけだ。

　なぜMozillaだけがそれを可能にしたのか。この記事では、Mozillaのレポートを読み解き、彼らの対応能力を「フロンティアAIモデル」「ハーネス」「パイプライン」の3層に分けて考えた上で、「自社でもMythos級のフロンティアAIモデルが利用できるようになる」時代に向けて、何を準備すべきかを考察してみたい。

「3層モデル」で考える脆弱性対応（筆者がChatGPTで生成）

Mozillaの成功を読み解く「3層構造」

　Mozillaのレポートは「Claude Mythos Previewを活用したFirefoxセキュリティ強化の舞台裏」と題されている。執筆したのは、Mozillaのセキュリティやプラットフォーム基盤を担う3人の中心的エンジニア。彼らは同レポートで、AIによる脆弱性発見を支える要素を、次の3層に分けて記述している。

　第1層は、推論能力そのものを提供するフロンティアAIモデル。Claude Mythos Previewのほか、AnthropicのAIモデル「Claude Opus 4.6」や米OpenAIの「GPT-5」などが該当する。

次ページへ Mozillaはなぜ成功したのか