AIがソフトウェアのセキュリティを根本から変えようとしています。今回注目したいのは、MozillaがAIモデルを活用してFirefoxの脆弱性を大量に発見・修正したという驚きのニュースです。
何が起きたのか
Mozillaは2026年4月、Firefoxのセキュリティアップデートとして計423件のバグ修正を出荷しました。そのうち271件は、AIモデル「Claude Mythos Preview」を中心としたエージェント型セキュリティ解析パイプラインによって発見されたものです。
この数字だけでも驚きですが、さらに注目すべきは発見されたバグの質です。15年以上放置されていた`
AIによるバグハンティングの仕組み
Mozillaのアプローチには3つのポイントがあります。
1つ目は、エージェント型ハーネスの構築です。従来のLLMを使った静的解析は誤検出率が高く、実用的ではありませんでした。Mozillaが構築したのは、AIが仮説を立て、実際にテストケースを作成・実行して動的に検証するシステムです。「バグがありそう」ではなく「このテストケースでバグが再現した」と示せることが決定的な違いです。
2つ目は、パイプライン全体の設計です。バグを見つけるだけでなく、既知の問題との重複排除、トリアージ、修正パッチの作成、リリース管理までを一貫した流れとして構築しています。AIの発見能力を実際の修正アクションにつなげるには、プロジェクト固有のワークフローとの統合が不可欠なのです。
3つ目は、モデルのアップグレードが即座に効果を発揮する点です。パイプラインが整備されていれば、新しいモデルに差し替えるだけで発見能力が向上します。Mozillaは最初Claude Opus 4.6で実験を始め、Claude Mythos Previewに切り替えた時点で成果が劇的に跳ね上がったと報告しています。
発見されたバグの深刻さ
271件のうち180件がsec-high(高リスク)、80件がsec-moderate、11件がsec-lowと評価されました。サンドボックスエスケープのような高度な攻撃手法に関連するバグも複数含まれています。
特筆すべきは、AIが過去にMozillaが施した防御策に阻まれる場面も確認されたことです。たとえば、プロトタイプ汚染によるサンドボックス脱出を試みたAIが、Mozillaが以前行ったプロトタイプ凍結の設計変更によって阻止されたケースがありました。過去の防御投資が実際に機能していることをAIが検証した形です。
私たちは何を学ぶべきか
Mozillaはブログの中で「誰でも今日から始められる」と呼びかけています。最初は単純なプロンプトから始めて、観察と改善を繰り返す。やがてオーケストレーションやツールを整備してパイプラインをスケールさせる。核心は変わらず「このコードにバグがあるはずだ、見つけてテストケースを作ってくれ」という指示だけです。
100人以上のエンジニアが修正に携わったという事実は、AIがバグを見つけても、最終的に直すのは人間だということを示しています。AIは発見のスピードと網羅性を劇的に向上させますが、修正の品質を担保するのは依然としてエンジニアの仕事です。
セキュリティの世界では「攻撃者が先に動く」のが常でした。しかし今、防御側がAIを使ってバグを先回りして潰せる時代が来ています。Mozillaの取り組みは、その最前線を示す重要な事例だと思います。
← ブログ一覧に戻る