Claude Mythos Preview を活用した Firefox の脆弱性対策の裏側
Mozilla は Claude Mythos のアクセス権を活用し、AI を駆使した脆弱性発見プロセスを確立することで、Firefox のセキュリティ修正数を月間 20-30 件から 423 件へと劇的に増加させた。
キーポイント
AI による脆弱性発見の劇的改善
以前は誤報告が多くコストがかかる「ゴミ」扱いだった AI 生成レポートが、モデル能力の向上と効果的なハルネス技術により、高品質な信号へと変化した。
統計データの爆発的増加
2025 年を通じて月間 20-30 件だったセキュリティバグ修正数が、2026 年 4 月に 423 件へと急増し、AI 導入の効果を明確に示している。
長年の未解決バグの特定
発見されたバグには 20 年前の XSLT 関連や 15 年前の legend 要素など、長期間放置されていた深刻な欠陥も含まれていた。
防御策との相互作用
AI の攻撃試行の一部は Firefox の既存の多層防御(Defense-in-Depth)によってブロックされ、セキュリティ体制の堅牢性が再確認された。
影響分析・編集コメントを表示
影響分析
この事例は、生成 AI が単なる開発補助ツールではなく、セキュリティ運用において決定的な役割を果たすことを示す画期的な証拠です。特に、AI の能力向上と運用手法の最適化が組み合わさることで、人間だけでは不可能だった規模のコードレビューと脆弱性発見が可能になることが実証されました。今後は、他の主要ソフトウェアプロジェクトや企業でも同様の AI 駆動型セキュリティ強化が標準化される可能性が高いです。
編集コメント
AI がセキュリティ分野で「ノイズ」から「信号」へ転換した瞬間を捉えた、非常に示唆に富むケーススタディです。開発者が AI をどう使いこなすかという運用知見の重要性が浮き彫りになっています。
Behind the Scenes Hardening Firefox with Claude Mythos Preview
Mozilla が Claude Mythos プレビューへのアクセス権を利用して、Firefox 内の数百の脆弱性を特定し、修正した方法に関する興味深く詳細な内容です。
突然、バグが非常に良くなった
数ヶ月前まで、オープンソースプロジェクトに対する AI 生成のセキュリティバグ報告は、主に不要なゴミとして知られていました。正しそうに見えるが実際には誤っている報告に対処することは、プロジェクトメンテナにとって非対称なコストを強いることになります。LLM(大規模言語モデル)にコード内の「問題」を見つけるようプロンプトするのは簡単で安価ですが、それに対応するのは時間がかかり高価です。
このダイナミクスが数ヶ月の間に私たちにとってどれほど変化したかを過大評価することは困難です。これは主に 2 つの要因の組み合わせによるものです。第一に、モデルの能力が大幅に向上しました。第二に、これらのモデルを*活用する*ための技術を劇的に改善しました——モデルを誘導し、スケーリングし、積み重ねて大量のシグナルを生成し、ノイズをフィルタリングする方法です。
これには詳細なバグ記述も含まれており、20 年前の XSLT バグや 15 年前の <element>(要素)内のバグなどがあります。
ハーンシング(活用システム)によって行われた試みの多くは、Firefox の既存のディフェンス・イン・デプス(多層防御)対策によってブロックされました。これは安心できることです。
Mozilla は 2025 年を通じて Firefox で月平均 20〜30 のセキュリティバグを修正していましたが、4 月には 423 に急増しました。
Via Lobste.rs
Tags: firefox, mozilla, security, ai, generative-ai, llms, anthropic, claude, ai-security-research
原文を表示
Behind the Scenes Hardening Firefox with Claude Mythos Preview
Fascinating, in-depth details on how Mozilla used their access to the Claude Mythos preview to locate and then fix hundreds of vulnerabilities in Firefox:
Suddenly, the bugs are very good
Just a few months ago, AI-generated security bug reports to open source projects were mostly known for being unwanted slop. Dealing with reports that look plausibly correct but are wrong imposes an asymmetric cost on project maintainers: it’s cheap and easy to prompt an LLM to find a “problem” in code, but slow and expensive to respond to it.
It is difficult to overstate how much this dynamic changed for us over a few short months. This was due to a combination of two main factors. First, the models got a lot more capable. Second, we dramatically improved our techniques for harnessing these models — steering them, scaling them, and stacking them to generate large amounts of signal and filter out the noise.
They include some detailed bug descriptions too, including a 20-year old XSLT bug and a 15-year-old bug in the `` element.
A lot of the attempts made by the harness were blocked by Firefox's existing defense-in-depth measures, which is reassuring.
Mozilla were fixing around 20-30 security bugs in Firefox per month through 2025. That jumped to 423 in April.
Via Lobste.rs
Tags: firefox, mozilla, security, ai, generative-ai, llms, anthropic, claude, ai-security-research
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み