小林啓倫のエマージング・テクノロジー論考
最新AI「ミュトス」を使えても「バグマゲドン」に? Firefox開発元に学ぶセキュリティ対策(1/5 ページ)
4月、Webブラウザ「Firefox」を手掛ける米Mozillaが驚くべき成果を発表した。Firefoxの新バージョン「Firefox 150」において、271件の脆弱(ぜいじゃく)性を一気に発見し、修正したというのだ。
立役者となったのが、米Anthropicが同月7日に発表した最先端のAIモデル(フロンティアモデル)「Claude Mythos Preview」(以下、Mythos)だ。「神話(Mythos)」の名を持つこのモデルを活用し、Mozillaはこれまでになかったほど大量の脆弱性を発見できた。
Mozillaは、271件の脆弱性のうち、180件を最高レベルのsec-high(通常のWeb閲覧をしているだけでも発生してしまうほどの深刻度)、80件をsec-moderate、11件をsec-lowに分類する。
なかには15~20年間も隠れていたバグもあり、いずれも長年のファジング(ソフトウェアに大量の異常入力を与えて不具合や脆弱性を見つける自動テスト手法)と人間による監査をすり抜けてきたものだった。同月にMozillaが修正した脆弱性は計423件に達し、同社の2025年の月間平均修正件数を約14倍上回った。
MozillaのCTOであるBobby Holley氏は公式ブログで、最初の発見結果を見たときの感覚を「めまいを覚えた」と表現している。
「ハードニング済みのターゲット(後述する『多層防御アーキテクチャ』や継続的な脆弱性対応の積み重ねで、新たな攻撃経路を見つけにくい状態まで防御が強化されたソフトウェアを指す)なら、2025年であれば、こんなバグが1つ見つかっただけで赤色の警報レベルだった」(Holley氏)
この数字を受けて、業界には1つの“神話”が流れ始めている。それは「Mythosのような先端AIモデルのアクセス権さえ手に入れば安心」というものだ。これだけ大量の脆弱性を一気に発見できるようになったのは、ひとえにMythosの力であり、その力を手に入れられれば自社でも同じ対応が可能になる、というわけだ。
しかしMozillaが26年5月7日に公開した詳細なレポートを読み込むと、この物語が半分しか正しくないことが分かる。Mythosにアクセスできる組織は他にも多数存在するが、Firefox 150のような規模で修正できた例は、現時点では確認できていない。
サイバーセキュリティ専門メディアの「The Hacker News」は、Anthropicが一部企業にMythosを提供しながら進めるセキュリティ強化の取り組み「Project Glasswing」で発見された脆弱性のうち、実際にパッチが出たのは1%未満と指摘している。発見のフェーズはAIで爆発的にスケールしたが、修正フェーズでスケールできた組織はほとんどなかったわけだ。
なぜMozillaだけがそれを可能にしたのか。この記事では、Mozillaのレポートを読み解き、彼らの対応能力を「フロンティアAIモデル」「ハーネス」「パイプライン」の3層に分けて考えた上で、「自社でもMythos級のフロンティアAIモデルが利用できるようになる」時代に向けて、何を準備すべきかを考察してみたい。
Mozillaの成功を読み解く「3層構造」
Mozillaのレポートは「Claude Mythos Previewを活用したFirefoxセキュリティ強化の舞台裏」と題されている。執筆したのは、Mozillaのセキュリティやプラットフォーム基盤を担う3人の中心的エンジニア。彼らは同レポートで、AIによる脆弱性発見を支える要素を、次の3層に分けて記述している。
第1層は、推論能力そのものを提供するフロンティアAIモデル。Claude Mythos Previewのほか、AnthropicのAIモデル「Claude Opus 4.6」や米OpenAIの「GPT-5」などが該当する。
Copyright © ITmedia, Inc. All Rights Reserved.
小林啓倫のエマージング・テクノロジー論考
生成AIやメタバース、新たなサイバー攻撃など、テクノロジーの進化が止まらない。少しずつ生活の中に浸透し、その恩恵を預かれることもある一方、思いもよらない問題を生み出すこともある。このコーナーでは、さまざまな分野の新興技術「エマージング・テクノロジー」について、小林啓倫氏が解説する。
この記事の著者
関連記事
こんなメディアも見られています
ITmedia AI+に関連する情報をお探しであれば、こちらのメディアもお役に立てるかもしれません。
SpecialPR
よく見られているカテゴリー
アクセスランキング
-
1
Anthropic、「Fable 5」の無償アクセスと「Claude Code」利用上限50%増を7月19日まで延長
-
2
「まるで人間」 OpenAIの新モデル「GPT-Live」のトーク力が話題 間を空けずに考えながら会話できる
-
3
「誰にも会わずに帰る店」の寂しさ すかいらーくがロボット配膳の先に挑むAI接客
-
4
「生成AIをもう手放せない人」が約6割 逆に“使わなくなったもの”1位は?
-
5
M365 CopilotにOpenAI最新モデル「GPT-5.6」追加 複雑な作業を「より効率的に処理」
-
6
「AIは依然として古い性能法則に従っている」 Tenstorrent Jim Keller氏
-
7
生成AI「若手有利」は大間違い? ミドル層が勝ち抜くための“力の見せ所”とは
-
8
テスラ車内で「Grok」と会話、日本でも展開へ ナビ設定やルート確認を音声で
-
9
マイクロン、AI需要で広島工場増強へ起工式 1.5兆円投資
-
10
「Claude Fable 5」サブスク、突如5日間延長 ユーザー悲喜こもごも「寝ずに頑張ったのに」「制限リセットして」
SpecialPR
ITmedia AI+ SNS
インフォメーション
注目情報をチェック
ITmedia AI+をフォロー
あなたにおすすめの記事PR