Anthropic Mythos が Firefox のセキュリティ防衛線を書き換える

サイバーセキュリティの分野において、脆弱性発見は常に猫とネズミのゲームであった。従来の人手によるコード監査は時間と労力を要し、自動化ツールは見逃しや誤検知が頻発していた。しかし、Anthropic の新世代 AI システム Mythos は、この現状を変えようとしている。Mozilla セキュリティチームの開示によると、Mythos は Firefox ブラウザに対するシステマティックなスキャンを実施した結果、数十件の高危険度脆弱性を一挙に発掘し、そのうち複数は攻撃者に任意のコードをリモート実行させるほど深刻なものであった。

Mythos とは何か？

Anthropic は信頼性が高く、解釈可能な AI システムの構築に専念してきた。Mythos はその最新のセキュリティ専用モデルであり、大規模な静的コード解析、動的シンボリック実行、強化学習の利点を融合している。従来のルールベースのスキャナーとは異なり、Mythos はコードの意味論的なロジックを理解でき、攻撃者の思考経路をシミュレートすることさえ可能である。数百万行のコードの中から、一見無害だが実は危険な欠陥——境界チェックの欠落、整数オーバーフロー、競合状態など——を自動的に特定できる。

TechCrunch が確認した内部レポートによると、Mythos は Firefox のレンダリングエンジンと JavaScript インタープリターから 47 件の高危険度脆弱性を発見し、そのうち 12 件は「ゼロデイ級」と分類された。Mozilla のセキュリティエンジニアは次のように述べている：「これらの脆弱性が悪意を持って利用された場合、攻撃者はユーザーが巧妙に細工された Web ページにアクセスした瞬間に、ブラウザ全体を直接制御できる」。現在、すべての脆弱性は修正済みであり、安定版チャネルに配信されている。

AI 脆弱性発掘：補助から主導へ

Mythos の成功は偶然ではない。近年、Google の Project Zero やマイクロソフトの Security Response Center などのチームは、機械学習を用いて脆弱性発見能力を強化する試みを始めている。しかし、Mythos のように完全に AI が主導し、これほど密度の高い高品質な脆弱性を産出した事例は初めてである。Anthropic によれば、Mythos の訓練データは過去 10 年間に公開されたすべての CVE 脆弱性レポートと百万単位の実コードベースをカバーしており、「言語横断的、プラットフォーム横断的」な汎化能力を備えている。

「これは単なるツールの進歩ではなく、方法論の革命である」——独立系セキュリティ研究者 Katie Moussouris

編集者注：Mythos のパフォーマンスは、セキュリティ分野における「人間と機械の協働」を再考させずにはおかない。かつてセキュリティ研究者は経験と直感に頼って脆弱性を探し、AI は補助的役割しか果たさなかった。今や AI は人間の専門家でも気づきにくい深層の欠陥を独立して発見できるようになった。これは人間が取って代わられることを意味するのではなく、セキュリティチームがより多くのエネルギーを脆弱性悪用プリミティブの解析、防御戦略の設計、緊急対応など、より高次のタスクに注げることを意味する。

Firefox の「幸運」と課題

Mozilla が積極的に Mythos を招き入れて監査を行わせたことは、その開放性とセキュリティ優先の決意を示している。Firefox は世界第 2 位のデスクトップブラウザであり、コード規模はすでに 3000 万行を超え、維持の難易度は極めて高い。これに対し、Chromium 陣営も独自の AI セキュリティツール（Google の FindIt など）を持っているが、クローズドソースのエコシステムでは透明性が不足しがちである。今回の Mythos の「実戦演習」は、オープンソースプロジェクトに一つの模範を示した：能動的に AI 監査を受け入れることでのみ、脆弱性を事前に塞ぐことができる。

しかし、物語のもう一つの側面として、攻撃者も同様の AI システムを展開することができる。Mythos の技術的詳細がリバースエンジニアリングされたりオープンソース化されたりすれば、ブラックマーケットの集団がそれを利用して未修正のゼロデイ脆弱性を素早く発見する可能性がある。そのため、Anthropic は現在、信頼できるパートナーにのみ Mythos を公開しており、厳格なアクセス監査を設定している。セキュリティコミュニティのコンセンサスは：AI の盾は AI の矛に先行しなければならない、というものである。

今後の展望

Firefox における Mythos の成功は、より多くのブラウザベンダーや OS 開発者に AI 脆弱性発掘の導入を促すだろう。Anthropic はすでに、2026 年後半に Mythos の能力を Linux カーネルおよび Android フレームワークに拡張する計画を発表している。その時には、AI セキュリティアシスタントはあらゆる開発ツールチェーンの標準コンポーネントになっているかもしれない。

Mozilla の CTO が語ったように、「我々はユーザーがより安全にインターネットを利用できるようにするあらゆる技術を歓迎する。Mythos は AI が我々の敵ではなく、味方になり得ることを証明した」。おそらく、我々は新時代の出発点に立っている——AI not only writes code, but also secures it.

本記事は TechCrunch から編訳した。