AI開発企業Anthropicは、同社の大規模言語モデル(LLM)「Claude Opus 4.6」を活用し、MozillaのウェブブラウザFirefoxにおいて22件の新たなセキュリティ脆弱性を発見したと発表しました。
この発見は、AnthropicとMozillaのセキュリティ提携の一環として行われたもので、AIがソフトウェアの脆弱性検出に貢献できる可能性を示しています。
AIが発見したFirefoxの脆弱性の詳細
Anthropicが2026年1月の2週間にわたる調査で特定した22件の脆弱性のうち、14件は「高」、7件は「中」、1件は「低」の深刻度に分類されました。これらの問題は、先月末にリリースされたFirefox 148で既に対処されています。
Anthropicによると、Claude Opus 4.6が特定した高深刻度のバグの数は、2025年にFirefoxで修正された高深刻度脆弱性全体の約5分の1に相当するとのことです。
AIモデルは、ブラウザのJavaScriptにおける「use-after-free」バグをわずか20分で検出しました。その後、人間の研究者が仮想環境で検証し、誤検出ではないことを確認しています。
この取り組みを通じて、Anthropicは合計で約6,000のC++ファイルをスキャンし、112件のユニークなレポートをMozillaに提出しました。ほとんどの問題はFirefox 148で修正済みですが、残りは今後のリリースで対応される予定です。
公式情報:Firefox 148.0 Release Notes
公式情報:Mozilla Security Advisories (MFSA2026-13)
AIによるエクスプロイト開発の試みと課題
Anthropicは、ClaudeモデルにMozillaに提出された脆弱性リスト全体へのアクセスを与え、それらの脆弱性に対する実用的なエクスプロイト(悪用コード)を開発するよう指示するテストも実施しました。
このテストは数百回にわたり行われ、約4,000ドルのAPIクレジットが費やされましたが、Claude Opus 4.6がセキュリティ欠陥をエクスプロイトに変換できたのはわずか2件にとどまりました。
この結果は、AIが脆弱性の特定には優れているものの、それらを悪用するコードの作成にはまだ課題があることを示唆しています。脆弱性の発見コストは、エクスプロイト作成コストよりも低いという見方もできます。
しかし、サンドボックスなどのセキュリティ機能が意図的に削除されたテスト環境内では、Claudeが粗雑なブラウザエクスプロイトを自動的に開発できたという事実は、懸念すべき点であるとAnthropicは強調しています。
エクスプロイト開発プロセスには、エクスプロイトが実際に機能するかどうかを判断する「タスク検証機能」が組み込まれていました。これにより、AIツールはコードベースを探索しながらリアルタイムのフィードバックを受け取り、成功するエクスプロイトが考案されるまで結果を反復改善することが可能になります。
Claudeが作成したエクスプロイトの一つは、JavaScript WebAssemblyコンポーネントにおけるJIT(Just-In-Time)誤コンパイルに関するCVE-2026-2796(CVSSスコア: 9.8)に対するものでした。
公式情報:NVD – CVE-2026-2796
公式情報:Exploiting CVE-2026-2796 with Claude
Mozillaの評価とAI支援分析の未来
今回の発表は、AnthropicがAIエージェントを用いて脆弱性を修正する「Claude Code Security」を限定的な研究プレビューとしてリリースした数週間後に行われました。
Mozillaもまた、AI支援アプローチによって90件の他のバグが発見され、そのほとんどが修正されたことを共同で発表しました。これには、従来のファジングでは見逃されがちだった、アサーション失敗や特定の種類の論理エラーも含まれていました。
Mozillaは、「発見の規模は、厳密なエンジニアリングと新しい分析ツールを組み合わせることで、継続的な改善がもたらされる強力な証拠である」と述べ、「大規模なAI支援分析は、セキュリティエンジニアのツールボックスに加わる強力な新ツールであると見なしている」と評価しています。
公式情報:Hardening Firefox with Anthropic’s Red Team
AIがセキュリティ脆弱性の発見において、人間を支援し、あるいは一部代替する可能性を秘めていることが明らかになりました。今後、AI技術がサイバーセキュリティ分野でどのように進化し、活用されていくのか注目されます。