ワカリタイムズ

🌍 海外ニュースを「わかりやすく」

AIが1回の解析でFirefoxの脆弱性271個を発見、防御側が「勝てる時代」へ

AI サイバーセキュリティ Firefox Anthropic ゼロデイ脆弱性

パソコンやスマートフォンでウェブを見るとき、多くの人はブラウザの安全性をあまり意識しません。しかし、その裏では開発者とハッカーの間で終わりのない攻防が続いています。「AnthropicのAI『Mythos』がFirefox 150のゼロデイ脆弱性271個を発見」と報じられた今回の出来事は、その攻防のバランスを根本から変えるかもしれません。AIが1回のソースコード解析で、世界トップクラスのセキュリティ研究者と同等の成果を出したのです。

従来モデルの12倍、271個の脆弱性を検出

Firefoxを開発するMozillaは、4月21日にリリースしたFirefox 150に合わせ、AIによる脆弱性検出の成果をブログ記事で発表しました。使われたのは、Anthropicが開発した最新AIモデルClaude Mythos Previewです。

その結果は衝撃的でした。Mythos Previewは、リリース前のFirefox 150のソースコードを解析し、271個のゼロデイ脆弱性を検出しました。ゼロデイ脆弱性とは、開発側がまだ把握・修正していない未知のセキュリティ上の欠陥のことです。攻撃者に先に発見されれば、修正パッチがない状態で悪用されるおそれがあります。

比較対象として注目すべきは、先月のFirefox 148に対して実施された同様のテストです。そのときAnthropicの従来モデルであるOpus 4.6が検出したバグはわずか22件でした。つまりMythos Previewは、従来モデルと比べて約12倍の脆弱性を発見したことになります。

「欠陥の数は有限だ」、CTOが語る転換点

MozillaのCTOであるボビー・ホーリー氏は、この結果に大きな意味を見出しています。同氏は「世界最高のセキュリティ研究者の成果を長年にわたって精査してきたが、Mythos Previewはそれらと同等の能力を持っている」と述べました。

従来、こうした脆弱性を見つけるには2つの方法がありました。1つはファジングと呼ばれる手法で、ソフトウェアにランダムなデータを大量に入力して異常な動作を引き起こし、欠陥を見つけるものです。もう1つは、高度な知識を持つセキュリティ研究者がソースコードを読み込み、論理的に問題を推論する方法です。しかし深刻な脆弱性を見つけるには、数か月の時間と多額の費用がかかることもありました。

Mythos Previewが検出した脆弱性は、いずれも人間の研究者やファジングでも理論上は発見可能なものでした。まったく新しい種類の欠陥が見つかったわけではありません。しかしホーリー氏はむしろ、そのことに希望を見出しています。「欠陥の数は有限であり、それをすべて見つけられる世界に入りつつある」と述べ、防御側が攻撃側に対して「ついに決定的に勝てるチャンスが来た」と語りました。

オープンソースの「ボランティア頼み」を救えるか

この技術が特に重要になるのは、インターネットの基盤を支えるオープンソースソフトウェアの世界です。オープンソースのコードは誰でも閲覧できるため、AIによる脆弱性の探索が容易です。一方で、多くのプロジェクトは少数のボランティアに依存しており、セキュリティの維持が十分とは言えない状況が続いてきました。

Mozilla幹部のラフィ・クリコリアン氏は、ニューヨーク・タイムズへの寄稿で、この問題を鋭く指摘しています。「数十億人が使う製品を支えるコードを20年間守ってきたプログラマーが、まだMythosを使えていない。必要としているのは、まさにそうした人たちだ」と訴えました。

Anthropicはこの課題に対し、Project Glasswingというプログラムを立ち上げています。Amazon、Apple、Microsoft、Cisco、CrowdStrikeなど40社以上にMythos Previewを限定提供し、各社のソフトウェアの脆弱性を事前に修正する取り組みです。さらに、Anthropicはこのプログラムに最大1億ドル(約160億円)分の利用枠と、オープンソースセキュリティ団体への400万ドル(約6億4,000万円)の寄付を表明しています。

記者の視点:「攻撃にも使える」ジレンマは解消されるか

AIが脆弱性を効率的に見つけられるなら、攻撃者も同じ技術を使えるのではないか。この懸念は当然のものです。実際にAnthropicは、Mythos Previewの能力があまりに強力であるため、一般公開を見送り、限定パートナーへの提供にとどめています。

しかしホーリー氏は、「脆弱性の発見コストが攻防の双方にとって下がる場合、有利になるのは防御側だ」と論じています。攻撃者は見つけた1つの脆弱性から侵入できればよいのに対し、防御側は見つかったすべての脆弱性を塞ぐ必要があります。しかし発見コストが劇的に下がれば、防御側がすべてを塞ぐことが現実的になるのです。

日本にもFirefoxの利用者はおり、オープンソースの恩恵を受けるソフトウェアは日常のあらゆる場面に浸透しています。AIによるセキュリティ検査が標準になる時代が来れば、私たちが日々使うソフトウェアの安全性は一段と高まるかもしれません。

すべてのソフトウェアが「AI検査」を受ける未来

ホーリー氏は、今後あらゆるソフトウェアがAIによる脆弱性検査に取り組む必要があると述べています。「すべてのソフトウェアには、表面の下に大量のバグが埋もれている。それが今、発見可能になった」という言葉は、開発者にとって警告であると同時に、ユーザーにとっては安心材料でもあります。バグがゼロになる日は来ないかもしれませんが、AIという強力な味方を得た防御側が、攻撃者よりも一歩先に進める時代が始まろうとしています。

ランキング参加中
【公式】2025年開設ブログ
ランキング参加中
テクノロジー
ランキング参加中
ニュース