AIが脆弱性271件を検出、Firefoxで何が起きたのか？新モデル「Mythos」の実力

Mozillaは2026年4月21日(現地時間)、「The zero-days are numbered 」において、AIを活用した大規模な脆弱性検出の取り組みについて公表した。Firefox開発チームは2026年2月以降、最先端のAIモデルを用いてWebブラウザー内部の潜在的な問題を洗い出す作業を継続しており、その成果として多数の修正を実施したと伝えている。

AI解析によりFirefoxで271件の脆弱性が一度に検出された。セキュリティの前提が変わる可能性もある　Photo:PIXTA

なぜAIはFirefoxの脆弱性を271件も見つけられたのか？

MozillaはすでにAnthropicとの協力により、Opus 4.6を用いた解析でFirefox 148において22件のセキュリティ関連不具合を修正していた。今回さらに、試験段階のAIモデル「Mythos Preview」を適用した結果、Firefox 150では271件の脆弱性が特定され、修正された。

こうした結果は開発チームに強い衝撃を与えたという。従来であれば1件でも重大とされる問題が一度に多数見つかったことで、対応可能性への懸念も生じた。これに対しMozillaは、優先順位を大きく見直し、集中して対処することで解決可能であるとの認識を示した。現時点では作業は継続中であるものの、状況は改善方向にあるとしている。

これまでソフトウェアのセキュリティ対策は、攻撃側が優位に立つ構図とされてきた。攻撃者は広範な対象領域の中から一つの弱点を見つければよく、防御側は全体を守る必要があるためだ。この非対称性により、完全な防御は困難と考えられてきた。

Firefoxでは複数の防御層を重ねる設計が採用されている。各Webサイトを独立したプロセスで動作させるサンドボックス機構や、安全性向上のためのRust導入などがその例だ。ただし、すべてのコードを短期間で刷新することは現実的ではなく、既存技術だけでは限界があった。

AIでセキュリティは変わるのか？攻撃優位は崩れるのか

従来の自動解析手法としては、入力データを変化させて挙動を観測するファジングが広く用いられてきた。この手法は有効ではあるが、対象コードによっては検出が難しい領域が存在し、網羅性に課題があった。

一方、高度な研究者はソースコードを詳細に読み解くことで複雑な欠陥を発見してきたが、この方法は時間と専門知識を要するため、効率面で制約があった。ところが近年のAIは、こうしたコード理解を伴う解析を高速に実行できる段階に到達したとされる。Mozillaは、今回使用したモデルが人間の専門家に匹敵する能力を示したと評価している。

この変化は短期的には懸念を生む可能性があるが、長期的には防御側に有利に働くと同社は説明する。これまで攻撃者は多大な時間をかけて欠陥を見つけていたが、AIにより同様の発見が低コスト化すれば、その優位性は縮小する。発見手段の差が小さくなることで、防御側が主導権を握る可能性が高まる。

また、今回確認された問題はいずれも人間の研究者でも理論上発見可能な範囲に収まっており、未知のまったく新しい欠陥形態は確認されていない。一部ではAIが従来の理解を超える問題を見つける可能性が指摘されているが、Mozillaはソフトウェア構造が人間による理解を前提に設計されている点から、その可能性は低いと見ている。

Mozillaは、ソフトウェアの欠陥は有限であり、AIの進展によりそれらを網羅的に把握できる時代が近づいているとの認識を示した。今回の取り組みはその初期段階にいちづけられるが、防御側が優位に立つ転換点となる可能性があるとしている。