Anthropic の新モデル Mythos が Firefox のサイバーセキュリティ戦略を再構築

Anthropic が 4 月に新モデル Mythos をリリースしたとき、AI ラボは同時にソフトウェア開発業界に強い警告を発しました。このモデルはソフトウェアのセキュリティ脆弱性をマイニングする能力が非常に高く、数千件の高リスクの脆弱性を発見したと言われています。これらの問題が修復されるまで、モデルを外の世界に完全に開くことはできません。

さて、Mozilla Firefox ブラウザのセキュリティ研究者たちは初めて、このプロセスが実際のエンジニアリングでどのように機能するかの詳細を体系的に公開し、ソフトウェア セキュリティ エコシステム全体にとって Mythos が何を意味するかを説明しようとしました。 Mozillaは木曜日の投稿で、MythosはFirefoxの多数の重大度の高い脆弱性を発見したが、そのうちのいくつかはコード内に10年以上眠っていた、と述べた。

わずか半年で、AI セキュリティ ツールの有用性は大幅に進歩しました。以前は、さまざまな AI 自動エラー チェック ツールのノイズが非常に多く、セキュリティ チームが低品質のレポートや多数の誤検知のレポートで頻繁に満たされ、エンジニアリング チームは対応に苦戦していました。 Mozilla の研究者らは、新世代のツールが、特に「エージェントのような」機能を備えてからは「変曲点に達した」と考えています。モデルは、独自の分析結果の二次評価とスクリーニングを実行できるため、信頼性の低い多数の出力を除外できます。

「この変化が数カ月以内にどれだけの影響を与えるかを誇張するのは難しい」と研究者らは書いている。 「まず第一に、モデル自体の機能が大幅に向上しました。第二に、これらのモデルを制御する方法に関する技術スタックも急速に進歩しました。」

特に結果レベルでの変更は特に直感的です。2026年4月、Firefoxは合計423の脆弱性修正パッチをリリースしましたが、前年同月にはこの数はわずか31でした。研究チームはまた、2つのまれなサンドボックスセキュリティメカニズムの欠陥と15年前のHTMLを含む12の脆弱性の技術的な詳細も明らかにしました。要素解析エラー。

「これらのツールは今、本当に突然非常に便利になりました」と Mozilla のディスティングイッシュ エンジニア Brian Grinstead 氏は TechCrunch のインタビューで語った。 「社内のスキャン システムでも同様の傾向が見られ、社外や業界全体に提出された脆弱性レポートでも同様の傾向が見られます。」

最も印象的な点の 1 つは、Mythos がブラウザの「サンドボックス」メカニズムに関連する多数の脆弱性の発見に貢献したことです。業界では、この種の脆弱性は常に、発見するのが最も困難で有害な欠陥の 1 つとみなされてきました。サンドボックスの脆弱性をうまく見つけて検証するには、モデルが悪意のある変更を含むパッチを作成できるだけでなく、この新しいコードを導入した後にブラウザの最も保護されている部分を攻撃できる必要があります。このプロセスでは、複数ステップの操作間で厳密なロジックと十分な創造性を維持する必要があり、従来の欠陥マイニングよりもはるかに困難です。

その価値は経済的インセンティブの観点からも見ることができます。 Mozilla のバグ報奨金プログラムでは、Firefox サンドボックスの脆弱性に対して最大 20,000 ドルの報奨金が提供されており、これはあらゆる脆弱性カテゴリの中で最も高い報奨金の上限です。それでも、グリンステッド氏は、人間の安全保障研究者が過去に報奨金を通じて発見したものを合わせたよりも多くのサンドボックス関連の問題をミトスが発見したと述べた。 「サンドボックスの脆弱性に関する報告は確かに受けていますが、その量という点では、この新しいテクノロジーを使用して私たちが積極的に発見している規模には遠く及びません。」

業界の AI コード生成ツールの大幅な進歩にも関わらず、Firefox チームは現在、これらの脆弱性を直接修正するために AI に依存していないことは注目に値します。チームはモデルに各脆弱性に基づいてパッチを生成させますが、これらの自動生成されたコードは通常バックボーンに直接統合できず、人間のエンジニアが修正を作成するための参照テンプレートとしてのみ使用できます。

「この記事で言及されている各脆弱性について、1 人のエンジニアがパッチの作成を完了し、別のエンジニアがコード レビューを完了しました。」グリンステッド氏は強調した。 「このプロセスを完全に自動化する信頼できる方法はまだ見つかっていません。」

よりマクロなレベルでは、AI 機能の急速な進化がネットワークの攻撃と防御の間の力のバランスをどのように変化させるかはまだ不明です。 Mythos のプレビュー バージョンがリリースされてから 1 か月以上が経過しましたが、発見された欠陥のほとんどはまだ修正の途中であり、これはまた、外部の世界がその長期的な影響を完全に評価することが難しいことを意味します。 Anthropic は責任ある開示慣行を厳格に遵守し、関連プロジェクトに脆弱性の詳細を徐々に伝えてきましたが、たとえ使用するモデルの機能がまだ劣っていたとしても、一部の悪意のある攻撃者も同様の手法を非公開で試みていると推測するのは合理的です。

最近の公開イベントで、Anthropic CEOのDario Amodei氏はこの傾向について比較的楽観的でした。同氏の見解では、業界がそのようなツールの使用方法を適切に規制すれば、防御側は現在よりも有利な立場になれる可能性があるという。アモデイ氏は「これらの脆弱性を一つ一つ修正していくので、正しく行えば、最終的には当初よりも安全な状況が得られると期待している」と述べた。 「脆弱性の総数は限られているため、今後はより良い世界を導くことが可能です。」

対照的に、最前線で脆弱性に長年対処してきたグリンステッド氏はより慎重だ。 「このツールは攻撃側にも防御側にも同様に役立ちますが、その人気により少なくとも多少は防御側に優位性が傾いています。」と彼は言いました。 「より現実的な言い方は、現時点では誰もこの質問に対して最終的な答えを与えることができないということです。」