AIセキュリティ技術を開発するAnthropicが、Firefoxのソースコードを分析し、短期間で多数のセキュリティ脆弱性を発見

AnthropicのAIモデルClaudeが、世界的に利用されているWebブラウザFirefoxのソースコードを分析し、短期間で多数のセキュリティ脆弱性を発見したことが明らかになりました。Anthropicによると、同社の最新モデルClaude Opus 4.6は、わずか2週間の調査でFirefoxのコードから100件以上のバグを検出しました。この調査の中で、22件の脆弱性が特定され、そのうち14件は「高深刻度（high severity）」と評価されました。これらの脆弱性は、悪意ある攻撃者が利用した場合、Firefoxを使用する数百万のユーザーに対して大規模な攻撃を引き起こす可能性があるレベルの問題です。Mozillaによると、2024年にFirefoxで修正された高深刻度または重大な脆弱性は年間で73件でしたが、Claudeはその約5分の1に相当する14件を2週間で発見しました。Mozillaのエンジニアは、通常世界中のセキュリティ研究者が2カ月程度で報告する高深刻度の脆弱性数を、AIがそれより短期間で発見したとしています。

AnthropicのセキュリティチームがFirefoxを対象に選んだ理由は、このブラウザがインターネット上で最も複雑かつ厳しく監査されているソフトウェアの一つだからです。Mozillaは30年以上にわたりバグ報奨金制度を運営しており、研究者が高深刻度の脆弱性を発見した場合、最大$6,000の報奨金を支払っています。そうした環境下でもAIが多数の脆弱性を検出できることが示されたことで、AIによるセキュリティ研究の可能性が改めて注目されています。Anthropicのチームはさらに、Claudeに対して発見した脆弱性を利用する攻撃コードの作成も試験的に実行させました。Claudeは2つの攻撃コードを生成しましたが、これはテスト環境のFirefoxに対してのみ機能するもので、実際のFirefoxのセキュリティ防御機構によって阻止されるとされています。この検証は、AnthropicのFrontier Red Teamを率いるLogan GrahamのチームがAIの安全性評価の一環として実施しました。

また、AnthropicはAIが見つけたすべてのバグをそのままMozillaに報告するのではなく、再現性が確認できたもののみを選別して提出しました。AIを用いた脆弱性研究の実用化に向けて、責任ある開示プロセスを重視していることを示しています。今回の結果は、AIがソフトウェアのセキュリティ検査のスピードと効率を大幅に高める可能性を示す事例として注目されています。

Anthropicについて
AnthropicはAIの安全性と高度なAIモデルの開発を目的として設立された人工知能企業です。同社はClaudeシリーズと呼ばれる大規模言語モデルを開発しており、安全性を重視したAIシステムの研究と実装を進めています。AnthropicのAIモデルは、自然言語処理だけでなくソフトウェア解析やセキュリティ研究などの分野でも活用されており、AIを用いた次世代のコンピューティング基盤の構築を目指しています。