AnthropicのMythosがFirefox 150で271件のセキュリティ脆弱性を発見、Mozillaは「防御側にとって朗報」 – GIGAZINE

Claudeの開発元であるAnthropicが、ソフトウェアの脆弱(ぜいじゃく)性を発見することに長けたAIの「Mythos」を開発しました。このMythosは悪用されれば非常に危険ということで、「Claude Mythos Preview」として一部の企業にのみ提供されています。そんなClaude Mythos Previewに参加しているMozillaが、最新のFirefox 150で271件のセキュリティ脆弱性を発見したと報告しました。

The zero-days are numbered
https://blog.mozilla.org/en/firefox/ai-security-zero-day-vulnerabilities/

Mozilla: Anthropic’s Mythos found 271 security vulnerabilities in Firefox 150 – Ars Technica
https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/

2026年2月以降、MozillaのFirefoxチームは最先端のAIモデルを活用し、Firefoxのセキュリティ脆弱性を発見・修正すべく取り組んできました。MozillaはAnthropicと協力してOpus 4.6を用いてFirefoxをスキャンし、2026年2月にリリースされたFirefox 148で22件のセキュリティ脆弱性を発見しています。

MozillaはAnthropicとの継続的な協力関係の一環として、Claude Mythos Previeの初期バージョンを利用する機会を得ました。そして、2026年4月22日に正式版がリリースされたFirefox 150で、Claude Mythos Previeを使ってセキュリティ脆弱性を探索したところ、初期評価の時点で271件もの脆弱性を発見することに成功したと報告しています。

MozillaはClaude Mythos Previeで大量のセキュリティ脆弱性が発見されたことについて、「このような機能(Mythos)がより多くの防御側の手に渡るにつれ、多くのチームが最初にこの発見が注目された時と同じような不安感を覚えるようになっています。2025年であれば、こうした脆弱性がひとつでも存在すれば警戒レベルであったはずなのに、これほど多くの脆弱性が同時に存在するとなると、対応し切れるかどうか疑問に思えてきます」と言及しました。

さらに、「我々の経験は、不安を振り払い、仕事に取り掛かるチームにとって希望の光となるでしょう。この課題に徹底的に集中するためには、他のすべての優先順位を見直す必要があるかもしれませんが、トンネルの先には光が見えています。私たちのチームがこの困難に立ち向かったことを非常に誇りに思っており、他のチームも同様に誇りに思うでしょう。私たちの仕事はまだ終わっていませんが、転換点を迎え、現状維持にとどまらない、はるかに明るい未来を垣間見ることができます。防御側はついに、決定的な勝利を掴むチャンスを得たのです」と述べ、Mythosがサイバーセキュリティにおける非常に有用なものとなる可能性を示唆しています。

これまで、テクノロジー業界において攻撃者と防御側はセキュリティ対策においてほぼ互角の戦いを繰り広げてきました。Firefoxのようなインターネットに公開される重要なソフトウェアのベンダーは、セキュリティを極めて重視しており、毎朝ユーザーの安全確保について考えるチームを抱えています。

Mozillaは「脆弱性をゼロにすることは非現実的な目標であることは、誰もが長年静かに認めてきました。その代わりに、脆弱性を悪用するコストを極めて高くすることで、実質的に無制限の予算を持つ攻撃者しか利用できないようにし、そのような高価な資産を浪費するコストが、攻撃者が安易に悪用することを思いとどまらせるようにすることを目指してきました」とこれまでのサイバーセキュリティ対策について説明しています。

優秀なセキュリティ研究者は、ソースコードを徹底的に分析することで、ファジングツールでは見つけられないようなバグを発見します。これは効果的な手法ですが、時間と労力がかかり、限られた人間にしか実行することはできません。数カ月前まではコンピューターではこのような分析を行うことができませんでしたが、Claude Mythos Previewはそれに匹敵する能力を備えています。記事作成時点では人間が発見できる脆弱性の種類や複雑さで、Claude Mythos Previewが発見できないものは見つかっていません。

Mozillaは「これは当面は恐ろしいと感じるかもしれませんが、最終的には防御側にとって朗報となるでしょう。攻撃側はひとつのバグを見つけるために何カ月もの時間と費用をかけて人的資源を投入することができますが、防御側はそこまでのコストをかけられず、機械に頼るしかありません。これまでは機械のバグ発見能力が低く、人間の能力との間にギャップがあり、攻撃側が有利でした。このギャップを埋めることで、あらゆるバグの発見コストが削減され、攻撃側の長期的な優位性が損なわれることになるわけです」と説明しています。

幸いなことに、優秀な人間の研究者でも発見できないようなバグは見つかっていません。一部の評論家は、将来のAIモデルが現在の理解を超えたまったく新しい形の脆弱性を発見すると予測していますが、Mozillaは「そうは考えていません。Firefoxのようなソフトウェアは、人間がその正しさを推論できるようにモジュール式に設計されています。複雑ではあるものの、その複雑さは無制限に広がっているわけではありません」と説明しました。