発見の成果
高深刻度14件含む22件発見
Firefox 148で大半を修正済み
C++ファイル約6,000件を走査
報告総数は112件に到達
攻撃検証の限界
エクスプロイト成功はわずか2件
検証に約4,000ドルのAPI費用
発見能力と悪用能力に大きな差
防御者への提言
タスク検証器で精度向上
最小テストケースの添付を推奨
詳細を読む
Anthropicは2026年3月、Mozillaとの協力のもとClaude Opus 4.6を用いてFirefoxの脆弱性調査を実施し、2週間で22件の脆弱性を発見しました。うち14件は高深刻度に分類され、2025年に修正された高深刻度脆弱性の約5分の1に相当します。
調査はFirefoxのJavaScriptエンジンから開始されました。わずか20分の探索で、攻撃者が任意のデータを上書きできるUse After Free型のメモリ脆弱性が報告されています。その後ブラウザ全体に範囲を拡大し、約6,000のC++ファイルを走査して合計112件の報告を提出しました。
一方でAIの悪用能力には明確な限界がありました。Anthropicは約4,000ドルのAPIクレジットを費やしてエクスプロイト作成を試みましたが、実際に成功したのは2件のみです。しかもサンドボックスなどのセキュリティ機能を意図的に無効化したテスト環境での成功にすぎません。
Anthropicは効果的な脆弱性発見の鍵としてタスク検証器の活用を提唱しています。エージェントが自らの出力を検証できるツールを組み合わせることで、パッチの品質が大幅に向上するとしています。報告時には最小テストケース、概念実証、候補パッチの添付が信頼性向上に不可欠です。
Anthropicは今後、Linuxカーネルなど他の重要プロジェクトでも脆弱性調査を拡大する方針です。現時点ではAIの発見能力が悪用能力を大きく上回っており、防御者に有利な状況にあるとしつつも、将来的にこの差が縮まる可能性を警告し、開発者にセキュリティ強化を急ぐよう呼びかけています。