Firefox、20年以上放置された脆弱性をAIで30日間で修正 — 14カ月分のパッチを一気に公開

Mozillaは最新のFirefoxセキュリティアップデートにおいて、AIツール「Claude Mythos Preview」を活用し、わずか30日間で14カ月分の修正に相当する423件の脆弱性を修正したことを発表した。これは、防衛側が攻撃者よりも先に最先端のAI技術を活用した結果であり、セキュリティ分野における新たなマイルストーンとなった。

20年以上放置された深刻な脆弱性をAIが特定

Mozillaによると、今回の修正には20年以上前の古いバグが含まれており、その中でも特に注目されたのが「Bug 2025977」と呼ばれるXSLT再入性の脆弱性だ。このバグは、key()呼び出しがハッシュテーブルの再ハッシュを引き起こし、メモリの解放後に生ポインタが使用されるという、極めて深刻な問題であった。また、「Bug 2024437」と呼ばれる15年以上前のHTML legend要素に関する不具合も修正された。

これらの脆弱性は、従来のテスト手法（ファジング、手動レビュー、バグバウンティプログラムなど）では見逃されていた可能性が高い。Mozillaは、「古く、複雑なサブシステムや、ブラウザの異なる部分間の複雑な相互作用に埋もれていた」と説明している。Firefoxのような長年使用され、厳重に監視されてきたブラウザでさえ、このような深刻なバグが潜んでいたことは、セキュリティエンジニアリングの重要性を再認識させる事例となった。

AIがもたらした「圧縮された」修正サイクル

Mozillaによると、通常の修正ペースは月に20〜30件程度であったが、2026年2月から3月にかけて一時的に60〜70件に増加し、4月には423件にまで急増した。これは、AIツールの導入により、「発見から修正までのサイクルが劇的に短縮された」ことを示している。

特に注目すべきは、AIが生成したセキュリティレポートの精度向上だ。従来、AIが生成したレポートはノイズが多く、検証に多くの時間を要していたが、MozillaはAIを活用したセキュリティパイプラインを構築し、「特定のコード領域に焦点を当てた分析」「再現可能なテストケースの生成」「ノイズのフィルタリング」「重複の排除」「深刻度のトリアージ」「確認済みのバグのセキュリティライフサイクルへの移行」を実現した。これにより、AIが見つけたバグを効率的に修正につなげることが可能となった。

修正された主な脆弱性の内訳

• Firefox 150リリースにおける修正数：271件
• 内訳：
  • 重大（sec-high）：180件
  • 中程度（sec-moderate）：80件
  • 軽微（sec-low）：11件
• 追加の修正が行われたバージョン：149.0.2、150.0.1、150.0.2

AI活用の今後とセキュリティへの影響

Mozillaは、AIを活用したセキュリティエンジニアリングの今後について、「AIは発見力を提供するが、それを実用的な修正につなげるためのシステムが不可欠」と強調している。特に、従来のセキュリティテストでは見逃されていた「古く、複雑なバグ」をAIが効率的に特定できるようになったことで、ソフトウェアセキュリティの向上が期待される。

一方で、Mozillaは「AIが生成したレポートの検証には依然として人的リソースが必要」とも指摘しており、AIと人間の協働がセキュリティ強化の鍵となるだろう。今後、他のオープンソースプロジェクトでも同様の取り組みが広がることが予想される。

「今回の取り組みは、防衛側が攻撃者よりも先にAI技術を活用することで、セキュリティギャップを埋める可能性を示している。これは、ソフトウェアセキュリティの未来にとって重要な一歩だ」
— Mozillaセキュリティチーム

まとめ：AI時代のセキュリティエンジニアリング

Mozillaの取り組みは、AIがセキュリティ分野にもたらす変革の一端を示すものだ。特に、「長年放置されていた深刻なバグの発見」と「修正サイクルの劇的な短縮」は、今後のソフトウェア開発におけるセキュリティ対策の在り方を再定義する可能性を秘めている。AIと人間の協働により、より安全なインターネット環境の実現が期待される。