Mozilla、Anthropicの「Claude Mythos」導入により14ヶ月分のセキュリティパッチを30日間で完了

Mozilla（モジラ）がAnthropic（アンソロピック）の最新AIモデル「Claude Mythos Preview（クロード・ミトス・プレビュー）」を活用し、Firefoxブラウザのセキュリティ脆弱性の修正速度を前例のないレベルまで引き上げた。2026年4月の1ヶ月間で、Mozillaは計423件のセキュリティバグを修正したが、これは2025年4月に記録した31件の修正数と比較して爆発的な増加である。この成果は、過去14ヶ月間の総修正数である約420件に匹敵する数値であり、セキュリティエンジニアリング分野におけるAIの破壊的なポテンシャルを示している。

「わずか30日間で14ヶ月分のセキュリティパッチを完了したことは、サイバーセキュリティ防御体系のパラダイムが変化したことを意味する。」

今回の大規模なパッチ適用の過程で、Mozillaは人間の監査人が数十年にわたって発見できなかった「古代の」脆弱性を発見するという成果を収めた。特に、20年間コードの中に隠れていたXSLT関連のバグや、15年前のHTML要素パースエラーがClaude Mythosによって特定された。これらのバグは単なる新しいエラーではなく、レガシーコード内に長期間潜伏していた欠陥であり、従来のエンジニアによる点検や自動化ツールでは検知が困難だったものだ。

Claude Mythos：セキュリティ発見の核となるエンジン

Anthropicが開発したClaude Mythosは、サイバーセキュリティに特化した「フロンティアモデル」として設計された。Mozillaのエンジニアによると、このモデルは271件の脆弱性を特定する過程で、誤検知（False-positive）がほぼゼロに近い驚異的な正確さを示した。この信頼性のおかげで、MozillaはAIが提案した修正事項を実際のプロダクション環境に迅速に適用することができ、これはAIが単なる補助ツールを超えて実戦配備の段階に到達したことを示唆している。

• 2026年4月のセキュリティ修正件数：423件（前年同期比で約13倍増加）
• 特定された脆弱性のうち271件は誤検知がほぼないことを確認
• 20年前のXSLTバグおよび15年前のHTMLパースエラーを解決
• プロジェクト・グラスウィング（Project Glasswing）を通じた限定的な防御戦略を採用

Anthropicは、Mythosモデルの悪用を防ぐために、これを一般公開する代わりに「プロジェクト・グラスウィング（Project Glasswing）」という限定的な同盟体制を構築した。このプロジェクトにはMozillaをはじめ、AWS、Apple、Google、Microsoft、NVIDIAなどの主要IT企業が参加している。これは、攻撃者がゼロデイ脆弱性を探すためにAIを活用する前に、防御側が先にセキュリティ欠陥を修正できるようにする「防御優先」戦略の一環である。

セキュリティ専門家は、このような変化を「AI脆弱性ストーム（AI Vulnerability Storm）」の始まりと規定している。AIによって脆弱性の発見速度が加速するにつれ、企業のインシデント対応チームは、公開されたバグが悪用される前にパッチを完了しなければならないという極度の時間的圧力に直面することになった。Mozillaの事例は、このような嵐の中で、AIベースの自動パッチシステムが現代のソフトウェアメンテナンスにおいて不可欠な要素になることを予見させている。

多層防御体系とAIの結合

幸いなことに、Firefoxの既存の「多層防御（Defense-in-depth）」体系は、AIが発見した多くの脆弱性の潜在的なリスクをかなりの部分で緩和していた。Mozillaの分析によると、Mythosが発見したバグの多くは、ブラウザの多重セキュリティレイヤーによって実際の攻撃につながりにくい構造だった。これは、AIによる攻撃的な補強と既存の堅牢なアーキテクチャが組み合わさったとき、最高のセキュリティ効果を収められることを示す事例だ。

Anthropicは、Mythosが約7週間のテスト期間中に2,000件以上の未公開の脆弱性を発見したと明らかにした。このような性能は、セキュリティ専門家の間で技術格差を縮める肯定的な効果と同時に、悪意のあるユーザーが技術的な背景なしに深刻な被害を与える可能性があるという懸念を同時に生んでいる。したがって、プロジェクト・グラスウィングのような制御された配布方式が、今後のAIセキュリティツールの運用の標準になる可能性が高い。

ソフトウェアセキュリティの新たな基準

結論として、Mozillaの今回の試みは、ソフトウェアセキュリティの新たな基準を提示した。AIは脆弱性発見の参入障壁を下げる一方で、防御側には圧倒的な速度の優位性を提供する。今後、ソフトウェア企業にとってAIベースのセキュリティ自動化は、選択ではなく生存のための必須戦略となるだろう。これはITエコシステム全体のセキュリティレベルを一段階引き上げる契機になると展望される。