Anthropic の Mythos、Mozilla Firefox で 271 件のセキュリティ脆弱性を発見
Anthropic の最新サイバーセキュリティAI『Mythos』が、Mozilla Firefox 150 で 271 件のセキュリティ脆弱性を特定。Mozilla CTO は『世界最高のセキュリティ研究者と同等の能力』と評価する一方、OpenAI の Sam Altman は『恐怖に基づくマーケティング』と批判。
Anthropic が開発した最新のサイバーセキュリティAI「Mythos」が、Mozilla Firefox 150 で 271 件ものセキュリティ脆弱性を特定しました。この成果は、Anthropic のセキュリティ分野への野心と、AI が従来のセキュリティ研究に及ぼす影響を象徴しています。
Mythos が発見した 271 の脆弱性
Mythos は Mozilla との協力により、Firefox ブラウザに潜む 271 件のセキュリティ脆弱性を検出しました。発見された脆弱性には、メモリ破損バグ、認証バイパス、特権昇格など、重大度の高い問題が含まれています。
Mozilla の CTO は Mythos の能力について「世界で最高のセキュリティ研究者と同等の能力を持つ」とコメント。従来は複数の専門家が数週間かけて行うセキュリティ監査が、AI によって迅速かつ包括的に実施できることを示しています。
業界からの反応:評価と批判
Mythos の成功は、サイバーセキュリティ分野での AI 活用の可能性を大きく広げるものとして注目されています。一方、OpenAI CEO の Sam Altman は、Anthropic の発表を「恐怖に基づくマーケティング(fear-based marketing)」と批判。Mythos の能力を過度に強調しているのではないかという指摘です。
業界では、Mythos のような高度なセキュリティAIが普及することで、ソフトウェア開発プロセスが根本的に変わる可能性があると予測しています。
今後への示唆
Firefox での成功は、Mythos の次のターゲットが他の大型ソフトウェアプロジェクトに及ぶことを示唆しています。Google Chrome、Apple Safari、Windows など、数百万のユーザーに使用されるプラットフォームでの脆弱性発見も現実的になりつつあります。
Anthropic は、Mythos を政府機関や大企業の情報セキュリティ部門に提供することで、新たなビジネス機会を開拓する計画と見られています。
アップデート(2026年5月7日)
Mythos の Firefox 脆弱性検出から数週間後、Mozilla はさらに詳細な検証結果を公開しました。
誤検知ほぼゼロの精度を検証
Mozilla が追加検証を行った結果、Mythos が発見した 271 件の脆弱性は「誤検知がほぼゼロ(almost no false positives)」であることが確認されました。これは AI セキュリティツールの信頼性として極めて高い水準です。従来のセキュリティツールは多くの誤検知を発生させるため、エンジニアが対応に膨大な時間を費やす問題がありました。Mythos はこの課題を根本的に解決しています。
Firefox のセキュリティプロセスが完全に変革
Mythos との協力による最も劇的な変化は、Firefox が公開する脆弱性修正の量です。2025年4月には Mozilla は脆弱性修正をわずか31件しか公開していませんでしたが、2026年4月は423件に跳ね上がりました。13倍以上の増加です。
Mozilla の Distinguished Engineer である Brian Grinstead は、Mythos の能力について「これらのシステムは本当に突然、非常に優れたものになった(These things are actually just suddenly very good)」とコメント。Mythos は特にサンドボックスセキュリティの領域で威力を発揮しており、15年前の古いパースエラーなど、人間のセキュリティ研究者では見落とすような脆弱性を発見しています。
Grinstead はさらに、サンドボックスの脆弱性発見に関して「私たちは(人間で)脆弱性を見つけることもありますが、この技術で見つけられる量には及びません」と述べています。
人間による最終審査は維持
それでも Mozilla は、Mythos が検出した脆弱性の修正パッチについては、すべて人間のエンジニアが作成・レビューする体制を維持しています。AI の能力を信頼しながらも、最終的な品質保証については人間の判断を重視する慎重な姿勢です。
Mythos の Agentic パイプラインと技術革新
THE DECODER の追加報道により、Firefox 脆弱性検出の背景にある技術的な革新が明らかになりました。
自己検証型 Agentic パイプライン
Mythos による検出プロセスは、単なる読み取り分析ではなく、AI が「自らテストケースを構築・実行して、推定される脆弱性が実際に存在するかを検証する」という agentic なアプローチを採用しています。この自己検証メカニズムにより、従来の手法では多くの誤検知が発生していた問題が根本的に解決されました。
スケーラビリティと並列処理
大規模なコードベース(Firefox のような数百万行のコード)を効率的に分析するために、Mozilla は「複数の仮想マシンを並列デプロイし、各マシンが単一ファイルをチェックする」というスケーリング手法を採用。パイプラインには重複排除、優先順位付け、リリース追跡などの機能が統合されています。
開発フロー統合計画
最も革新的な施策は、Mythos を開発ワークフローに直接統合し、「全てのコードが提出(コミット)される前に自動的にチェックされる」という継続的セキュリティ分析体制への移行です。これは従来の事後的なセキュリティ監査から、予防的かつ自動化されたセキュリティ検査へのパラダイムシフトを示しています。
既存防御の検証と複合脆弱性の発見
Mythos による分析は、Prototype Pollution 攻撃に対する Mozilla の既存防御が依然として有効であることを「直接証明」するという副次的な成果も生み出しました。さらに、「単独では十分な攻撃力を持たないが、他の脆弱性と組み合わせることで初めて完全な攻撃が成立する」という複合脆弱性(bug chaining)の検出に成功。これは従来の fuzzing テストなどの従来手法では検出困難な領域です。
