Mozilla：AI脆弱性発見ツールMythosが271件の脆弱性を発見、誤検知ほぼゼロ

Mozillaは先日、技術ブログにて、内部開発のAI支援脆弱性発見システムMythosがFirefoxコードベースから271件のセキュリティ脆弱性を識別し、ほぼ誤検知を発生させなかったと発表した。Mozillaセキュリティチーム責任者は、チームは「完全に納得した」（completely bought in）と述べ、AI支援脆弱性発見の将来性に強い自信を示した。この声明はAIがサイバーセキュリティ分野で持つ大きな潜在力を示すと同時に、従来のブラウザベンダーの自動化脆弱性検出に対する姿勢の根本的な転換を象徴している。

Mythos：AI駆動の脆弱性ハンター

MythosはMozillaが内部で自主開発した機械学習システムで、Firefoxのソースコードを分析し潜在的なセキュリティ脆弱性を発見することに特化している。従来の静的解析ツールやファジングテストとは異なり、Mythosは深層学習モデルを通じて既知の脆弱性パターンを学習し、コード中に存在しうる欠陥を予測する。Mozillaセキュリティエンジニアリング責任者のDan Goodin氏によれば、Mythosは直近のテストラウンドで数百万行のC++およびJavaScriptコードをスキャンし、最終的に271件のユニークな脆弱性を報告したが、誤検知と確認されたのはごく僅かであった。これはMythosの偽陽性率が業界平均を遥かに下回ることを意味する。従来の自動化ツールでは、大量の誤検知によってセキュリティアナリストが疲弊することがしばしば問題となっていた。

「Mythosの報告を検証するために人手をかける必要がほぼなくなった——発見された脆弱性はほぼ全て実在するものだ。」——Mozillaセキュリティチーム上級エンジニア

品質と効率のバランス

Mozillaによれば、Mythosは脆弱性発見の効率を高めるだけでなく、品質も顕著に向上させた。確認された271件の脆弱性のうち、60件以上が高危険度または重大レベルに分類されており、これらは適時に修正されなければリモートコード実行や権限昇格などの深刻な事態を招く可能性がある。注目すべきは、Mythosが人間のセキュリティ研究者を代替するのではなく、強力な支援ツールとして機能し、チームがより複雑な問題に注力できるようにする点である。MozillaはすでにMythosを継続的インテグレーション/継続的デプロイメント（CI/CD）パイプラインに統合しており、コードコミットごとに自動的にスキャンが実行される。

AIの脆弱性発掘分野での応用は新しい話題ではない。過去数年間、GoogleのProject Zeroチーム、MicrosoftのSecurity Response Centerなどの組織はいずれも機械学習モデルを試みてきた。しかしMozillaは、Mythosの「ほぼ誤検知ゼロ」という特性は独自のものだと主張する。従来のモデルでは、再現率と適合率の間でトレードオフが発生するのが通例で、再現率を高めると大量の誤検知が発生し、誤検知を低減すると実在する脆弱性を見逃す可能性があった。Mythosは「コンテキスト認識アテンションメカニズム」と呼ばれるアーキテクチャを通じて、高い再現率を維持しつつ誤検知率を極めて低い水準に抑えている。

業界への影響と今後の展望

このニュースはサイバーセキュリティ業界で広範な議論を巻き起こしている。一部の分析では、MozillaがMythosのモデルや方法論をオープンソース化すれば、業界全体のAIセキュリティツールの発展を大きく推進することになるとされている。現時点でMozillaはMythosの商業化やオープンソース化計画を明らかにしていないが、内部情報によれば、チームは技術移転の可能性を評価中であるという。同時に、Firefoxブラウザ自体のセキュリティ態勢も大幅に強化されることになる——271件の脆弱性はすでにCVE番号が割り当てられ、順次修正されており、ユーザーは最新バージョンに更新するだけでその恩恵を受けることができる。

しかし、AIによる脆弱性発掘は万能ではない。一部のセキュリティ専門家は、AIモデルが新型の攻撃パターンや非構造化脆弱性（例：プロトコル論理の欠陥）の検出能力に欠ける可能性があると指摘している。Mozillaも、Mythosが現在主にメモリ安全性エラーと型混乱の問題に焦点を当てており、設計レベルの欠陥については依然として人手でのレビューが必要であることを認めている。さらに、データプライバシーやモデル訓練コストも潜在的な課題である。

編集後記：MozillaがAI支援脆弱性発見を全面的に受け入れたことは、テクノロジー大手のサイバーセキュリティ分野における技術変革への切実なニーズを反映している。ソフトウェアの複雑性が上昇し続ける中、従来の人手によるコード監査は持続困難となっている。Mythosの成功事例は、AIがもはや「あれば便利」なツールではなく、真にセキュリティ体系の「ゴールキーパー」となり得ることを示している。今後、より多くのブラウザ、OS、さらには組み込みシステムベンダーがこの道を踏襲するかもしれない。ただし、AIツールは万能薬ではなく、企業や開発者は依然としてセキュリティ倫理と検証プロセスへの敬意を保つ必要があることに留意すべきである。

本記事はArs Technicaから編訳した。