Mozillaとの提携によるFirefoxのセキュリティ向上
AnthropicのClaude Opus 4.6がMozillaとの共同研究でFirefoxの22件の脆弱性を発見し、うち14件が高深刻度と評価され、AIによるセキュリティ脆弱性発見の実用性と加速効果を実証した。
キーポイント
AIによる高深刻度脆弱性の実用的発見
Claude Opus 4.6が2週間でFirefoxの22件の脆弱性を発見し、Mozillaはそのうち14件を高深刻度と評価した。これは2025年に修正されたFirefoxの高深刻度脆弱性全体の約5分の1に相当する。
複雑な実環境でのAI能力検証
既知の脆弱性を再現するベンチマークを超え、実際の複雑なコードベース(Firefox)で新規脆弱性を発見する能力を評価した。Firefoxは世界で最もテストが行き届いた安全なオープンソースプロジェクトの一つであり、厳しいテスト環境となった。
AI研究者とメンテナの協業モデル確立
Mozillaは大量のレポートを受け取り、どのような発見がバグ報告に値するかを理解するのを支援し、数億ユーザーに修正を提供した。この協力関係はAIを活用したセキュリティ研究者とメンテナの協業モデルを提供する。
従来の脆弱性発見プロセスへの変革的影響
各脆弱性の発見に多大な人的努力を要していた従来のプロセスに対し、AIは深刻なセキュリティ脆弱性を大幅に加速された速度で検出することを可能にしている。
Claudeによる脆弱性発見の効率性
ClaudeはFirefoxのJavaScriptエンジンで20分以内にUse After Free脆弱性を発見し、その後50以上のクラッシュ入力も特定した。最終的に112件のレポートを提出した。
Mozillaとの協力関係
Mozillaは脆弱性の一括提出を奨励し、トリアージプロセスを透明化した。Claudeの内部セキュリティ利用も開始している。
Claudeの脆弱性悪用能力評価
Claudeは発見した脆弱性のうち2件のみを悪用可能で、脆弱性発見よりも悪用の方が難しく、コストも高いことが判明した。
影響分析・編集コメントを表示
影響分析
この記事は、AIが単なる概念実証を超えて、実際の大規模プロダクトでセキュリティ脆弱性を発見する実用的なツールとして成熟しつつあることを示している。特に、従来は人的努力に依存していた脆弱性発見プロセスを加速する可能性があり、ソフトウェアセキュリティの根本的な改善と効率化につながる重要なマイルストーンと言える。
編集コメント
AIのセキュリティ分野への実用的応用が具体化した画期的な事例。企業PR要素はあるが、実績データと業界標準プロジェクトでの検証という客観性が説得力を持たせている。
タイトル: Firefoxのセキュリティ向上に向けたMozillaとの連携
AIモデルは現在、複雑なソフトウェアにおける高深刻度の脆弱性を自律的に特定できるようになりました。当社が最近文書化したように、Claudeは十分にテストされたオープンソースソフトウェアにおいて、500以上のゼロデイ脆弱性(ソフトウェアの管理者に知られていないセキュリティ上の欠陥)を発見しました。
この投稿では、Claude Opus 4.6が2週間の間に22の脆弱性を発見した、Mozillaの研究者との共同作業の詳細を共有します。このうち、Mozillaは14件を高深刻度の脆弱性として分類しました。これは、2025年に修正されたすべての高深刻度Firefox脆弱性のほぼ5分の1に相当します。言い換えれば、AIによって深刻なセキュリティ脆弱性を極めて高速に検出することが可能になっているのです。
この連携の一環として、Mozillaは当社からの大量の報告を受け付け、どのような種類の発見がバグ報告の提出に値するかを理解する手助けをし、Firefox 148.0で数億人のユーザーに修正を提供しました。彼らのパートナーシップと、当社が学んだ技術的教訓は、AIを活用したセキュリティ研究者とメンテナーがこの状況に対応するために協力するためのモデルケースとなります。
モデル評価からセキュリティパートナーシップへ
2025年後半、当社はOpus 4.5がCyberGym(LLMが既知のセキュリティ脆弱性を再現できるかをテストするベンチマーク)のすべてのタスクをほぼ解決できることに気づきました。当社は、現代のウェブブラウザに存在するような、技術的に複雑な脆弱性がより多く含まれる、より難しく現実的な評価を構築したいと考えました。そこで、Claudeがそれらを再現できるか確認するため、過去のFirefox共通脆弱性識別子(CVE)のデータセットを構築しました。
当社がFirefoxを選んだ理由は、それが複雑なコードベースであると同時に、世界で最も十分にテストされ、安全なオープンソースプロジェクトの一つであるからです。これは、以前にモデルをテストするために使用したオープンソースソフトウェアと比べ、AIが新規のセキュリティ脆弱性を見つける能力に対する、より難しいテストとなります。数億人のユーザーが毎日それに依存しており、ブラウザの脆弱性は特に危険です。なぜなら、ユーザーは日常的に信頼できないコンテンツに遭遇し、ブラウザが自分たちを安全に保つことに依存しているからです。
最初のステップとして、Claudeを使用して、Firefoxコードベースの古いバージョンで過去に特定されたCVEを見つけました。Opus 4.6がこれらの過去のCVEの多くを再現できたことに驚きました。なぜなら、それぞれの発見には相当な人的努力が必要だったからです。しかし、これらの過去のCVEの少なくとも一部がClaudeの学習データに既に含まれている可能性があったため、この結果をどこまで信頼すべきかは不明でした。
そこで当社は、Claudeに現在のバージョンのFirefoxで新規の脆弱性(定義上、これまで報告されたことのないバグ)を見つけることを任せました。最初はFirefoxのJavaScriptエンジンに焦点を当て、その後ブラウザの他の領域に拡大しました。JavaScriptエンジンは都合の良い第一歩でした。それはFirefoxのコードベースの独立した部分であり、単独で分析することができ、その広い攻撃対象領域(ユーザーがウェブを閲覧する際に信頼できない外部コードを処理する)を考えると、特にその安全性が重要です。
わずか20分の探索後、Claude Opus 4.6はJavaScriptエンジンにUse After Free(攻撃者が任意の悪意のあるコンテンツでデータを上書きできる可能性があるメモリ脆弱性の一種)を特定したと報告しました。当社の研究者の一人が、最新のFirefoxリリースを搭載した独立した仮想マシンでこのバグを検証し、その後他の2人のAnthropic研究者に転送、彼らもバグを検証しました。それから当社は、Mozillaの課題管理システムであるBugzillaに、脆弱性の説明と根本原因のトリアージを助けるための提案パッチ(Claudeによって作成され、報告チームによって検証された)を添えてバグ報告を提出しました。
この最初の脆弱性を検証してFirefoxに提出するまでの間に、Claudeはすでにさらに50のユニークなクラッシュを引き起こす入力を発見していました。当社がこれらのクラッシュをトリアージしている間、Mozillaの研究者から連絡がありました。互いのプロセスについて技術的な議論を交わし、当社が手動で検証したさらにいくつかの脆弱性を共有した後、彼らは、すべてのクラッシュテストケースがセキュリティに影響を与えると確信していなくても、各々を検証せずにすべての発見を一括して提出するよう勧めました。この取り組みの終わりまでに、当社は約6,000のC++ファイルをスキャンし、前述の高深刻度および中深刻度の脆弱性を含む合計112件のユニークな報告を提出しました。ほとんどの問題はFirefox 148で修正され、残りは今後のリリースで修正される予定です。
外部ソフトウェアでこの種のバグハンティングを行う際、当社は常に、コードベースについて何か重要な点を見逃して発見が誤検知(偽陽性)になる可能性があることを意識しています。当社はバグを自ら検証するデューデリジェンスを行おうとしますが、常に誤りの余地はあります。Mozillaがトリアージプロセスについて非常に透明性を保ち、当社が彼らが関心を持つテストケースのみを提出できるようアプローチを調整する手助けをしてくれたことには、大変感謝しています(すべてがセキュリティに関連するわけではなかったとしても)。Mozillaの研究者はそれ以来、セキュリティ目的で内部でClaudeの実験を始めています。
脆弱性の特定から原始的なエクスプロイトの作成へ
Claudeのサイバーセキュリティ能力の上限を測定するため、当社はClaudeが発見したバグのいずれかを悪用できるかどうかを判断する新しい評価も開発しました。言い換えれば、Claudeがこれらのバグを悪用して悪意のあるコードを実行するためにハッカーが使うようなツールも開発できるかどうかを理解したいと考えたのです。
このため、当社はClaudeにMozillaに提出した脆弱性へのアクセス権を与え、それぞれに焦点を当てたエクスプロイトの作成を依頼しました。脆弱性の悪用に成功したことを証明するため、Claudeに実際の攻撃を実演するよう求めました。具体的には、攻撃者が行うように、ターゲットシステムでローカルファイルを読み書きすることを要求しました。
原文を表示
Partnering with Mozilla to improve Firefox’s security
AI models can now independently identify high-severity vulnerabilities in complex software. As we recently documented, Claude found more than 500 zero-day vulnerabilities (security flaws that are unknown to the software’s maintainers) in well-tested open-source software.
In this post, we share details of a collaboration with researchers at Mozilla in which Claude Opus 4.6 discovered 22 vulnerabilities over the course of two weeks. Of these, Mozilla assigned 14 as high-severity vulnerabilities—almost a fifth of all high-severity Firefox vulnerabilities that were remediated in 2025. In other words: AI is making it possible to detect severe security vulnerabilities at highly accelerated speeds.
As part of this collaboration, Mozilla fielded a large number of reports from us, helped us understand what types of findings warranted submitting a bug report, and shipped fixes to hundreds of millions of users in Firefox 148.0. Their partnership, and the technical lessons we learned, provides a model for how AI-enabled security researchers and maintainers can work together to meet this moment.
From model evaluations to a security partnership
In late 2025, we noticed that Opus 4.5 was close to solving all tasks in CyberGym, a benchmark that tests whether LLMs can reproduce known security vulnerabilities. We wanted to construct a harder and more realistic evaluation that contained a higher concentration of technically complex vulnerabilities, like those present in modern web browsers. So we built a dataset of prior Firefox common vulnerabilities and exposures (CVEs) to see if Claude could reproduce those.
We chose Firefox because it’s both a complex codebase and one of the most well-tested and secure open-source projects in the world. This makes it a harder test of AI’s ability to find novel security vulnerabilities than the open-source software we previously used to test our models. Hundreds of millions of users rely on it daily, and browser vulnerabilities are particularly dangerous because users routinely encounter untrusted content and depend on the browser to keep them safe.
Our first step was to use Claude to find previously identified CVEs in older versions of the Firefox codebase. We were surprised that Opus 4.6 could reproduce a high percentage of these historical CVEs, given that each of them took significant human effort to uncover. But it was still unclear how much we should trust this result because it was possible that at least some of those historical CVEs were already in Claude’s training data.
So we tasked Claude with finding novel vulnerabilities in the current version of Firefox—bugs that by definition can’t have been reported before. We focused first on Firefox’s JavaScript engine but then expanded to other areas of the browser. The JavaScript engine was a convenient first step: it’s an independent slice of Firefox’s codebase that can be analyzed in isolation, and it’s particularly important to secure, given its wide attack surface (it processes untrusted external code when users browse the web).
After just twenty minutes of exploration, Claude Opus 4.6 reported that it had identified a Use After Free (a type of memory vulnerability that could allow attackers to overwrite data with arbitrary malicious content) in the JavaScript engine. One of our researchers validated this bug in an independent virtual machine with the latest Firefox release, then forwarded it to two other Anthropic researchers, who also validated the bug. We then filed a bug report in Bugzilla, Mozilla’s issue tracker, along with a description of the vulnerability and a proposed patch (written by Claude and validated by the reporting team) to help triage the root cause.
In the time it took us to validate and submit this first vulnerability to Firefox, Claude had already discovered fifty more unique crashing inputs. While we were triaging these crashes, a researcher from Mozilla reached out to us. After a technical discussion about our respective processes and sharing a few more vulnerabilities we had manually validated, they encouraged us to submit all of our findings in bulk without validating each one, even if we weren’t confident that all of the crashing test cases had security implications. By the end of this effort, we had scanned nearly 6,000 C++ files and submitted a total of 112 unique reports, including the high- and moderate-severity vulnerabilities mentioned above. Most issues have been fixed in Firefox 148, with the remainder to be fixed in upcoming releases.
When doing this kind of bug hunting in external software, we’re always conscious of the fact that we may have missed something critical about the codebase that would make the discovery a false positive. We try to do the due diligence of validating the bugs ourselves, but there’s always room for error. We are extremely appreciative of Mozilla for being so transparent about their triage process, and for helping us adjust our approach to ensure we only submitted test cases they cared about (even if not all of them ended up being relevant to security). Mozilla researchers have since started experimenting with Claude for security purposes internally.
From identifying vulnerabilities to writing primitive exploits
To measure the upper limits of Claude’s cybersecurity abilities, we also developed a new evaluation to determine whether Claude was able to exploit any of the bugs we discovered. In other words, we wanted to understand whether Claude could also develop the sorts of tools that a hacker would use to take advantage of these bugs to execute malicious code.
To do this, we gave Claude access to the vulnerabilities we’d submitted to Mozilla and asked Claude to create an exploit focusing on each one. To prove it had successfully exploited a vulnerability, we asked Claude to demonstrate a real attack. Specifically, we required it to read and write a local file in a target system, as an attacker would.
We ran this test several hundred times with different starting points, spending approximately $4,000 in API credits. Despite this, Opus 4.6 was only able to actually turn the vulnerability into an exploit in two cases. This tells us two things. One, Claude is much better at finding these bugs than it is at exploiting them. Two, the cost of identifying vulnerabilities is an order of magnitude cheaper than creating an exploit for them. However, the fact that Claude could succeed at automatically developing a crude browser exploit, even if only in a few cases, is concerning.
“Crude” is an important caveat here. The exploits Claude wrote only worked on our testing environment, which intentionally removed some of the security features found in modern browsers. This includes, most importantly, the sandbox, the purpose of which is to reduce the impact of these types of vulnerabilities. Thus, Firefox’s “defense in depth” would have been effective at mitigating these particular exploits. But vulnerabilities that escape the sandbox are not unheard of, and Claude’s attack is one necessary component of an end-to-end exploit. You can read more about how Claude developed one of these Firefox exploits on our Frontier Red Team blog.
What's next for AI-enabled cybersecurity
These early signs of AI-enabled exploit development underscore the importance of accelerating the find-and-fix process for defenders. Towards that end, we want to share a few technical and procedural best practices we’ve found while performing this analysis.
First, when researching “patching agents,” which use LLMs to develop and validate bug fixes, we have developed a few methods we hope will help maintainers use LLMs like Claude to triage and address security reports faster.1
In our experience, Claude works best when it's able to check its own work with another tool. We refer to this class of tool as a “task verifier”: a trusted method of confirming whether an AI agent’s output actually achieves its goal. Task verifiers give the agent real-time feedback as it explores a codebase, allowing it to iterate deeply until it succeeds.
Task verifiers helped us discover the Firefox vulnerabilities described above,2 and in separate research, we’ve found that they’re also useful for fixing bugs. A good patching agent needs to verify at least two things: that the vulnerability has actually been removed, and that the program’s intended functionality has been preserved. In our work, we built tools that automatically tested whether the original bug could still be triggered after a proposed fix, and separately ran test suites to catch regressions (a change that accidentally breaks something else). We expect maintainers will know best how to build these verifiers for their own codebases; the key point is that giving the agent a reliable way to check both of these properties dramatically improves the quality of its output.
We can’t guarantee that all agent-generated patches that pass these tests are good enough to merge immediately. But task verifiers give us increased confidence that the produced patch will fix the specific vulnerability while preserving program functionality—and therefore achieve what’s considered to be the minimum requirement for a plausible patch. Of course, when reviewing AI-authored patches, we recommend that maintainers apply the same scrutiny they’d apply to any other patch created by an external author.
Zooming out to the process of submitting bugs and patches: we know that maintainers are underwater. Therefore, our approach is to give maintainers the information they need to trust and verify reports. The Firefox team highlighted three components of our submissions that were key for trusting our results:
Accompanying minimal test cases
Detailed proofs-of-concept
Candidate patches
We strongly encourage researchers who use LLM-powered vulnerability research tools to include similar evidence of verification and reproducibility when submitting reports based on the output of such tooling.
We’ve also published our Coordinated Vulnerability Disclosure operating principles, where we describe the procedures we will use when working with maintainers. Our processes here follow standard industry norms for the time being, but as models improve we may need to adjust our processes to keep pace with capabilities.
The urgency of the moment
Frontier language models are now world-class vulnerability researchers. On top of the 22 CVEs we identified in Firefox, we’ve used Claude Opus 4.6 to discover vulnerabilities in other important software projects like the Linux kernel. Over the coming weeks and months, we will continue to report on how we’re using our models and working with the open-source community to improve security.
Opus 4.6 is currently far better at identifying and fixing vulnerabilities than at exploiting them. This gives defenders the advantage. And with the recent release of Claude Code Security in limited research preview, we’re bringing vulnerability-discovery (and patching) capabilities directly to customers and open-source maintainers.
But looking at the rate of progress, it is unlikely that the gap between frontier models’ vulnerability discovery and exploitation abilities will last very long. If and when future language models break through this exploitation barrier, we will need to consider additional safeguards or other actions to prevent our models from being misused by malicious actors.
We urge developers to take advantage of this window to redouble their efforts to make their software more secure. For our part, we plan to significantly expand our cybersecurity efforts, including by working with developers to search for vulnerabilities (following the CVD process outlined above), developing tools to help maintainers triage bug reports, and directly proposing patches.
If you’re interested in supporting our security efforts—writing new scaffolds to identify vulnerabilities in open-source software; triaging, patching, and reporting vulnerabilities; and developing a robust CVD process for the AI era—apply to work at Anthropic here.
All the advice shared here is based on our use of Claude, but it should apply to whichever LLM you prefer.
Which Mozilla patched independently.
Related content
Where things stand with the Department of War
A statement from Dario Amodei.
Statement on the comments from Secretary of War Pete Hegseth
Anthropic's response to the Secretary of War and advice to customers.
Statement from Dario Amodei on our discussions with the Department of War
A statement from our CEO on national security uses of AI.

関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み