Claude Mythos、Firefoxの271件のバグを修正　20年前のバグも

Mozillaは、Anthropicの最上位モデル「Claude Mythos Preview」などのAIモデルを活用し、同団体のWebブラウザ「Firefox」の潜在的なセキュリティバグを多数特定・修正したと発表した。Firefox 150でClaude Mythos Previewが特定した271件のバグを修正したほか、149.0.2、150.0.1、150.0.2でも関連する修正パッチをリリースしている。

Claude Mythos(ミトス)は、Anthropicの最新フロンティアモデルだが、セキュリティや安全保障リスクの観点から「非公開」とされ、一部の金融機関やセキュリティ企業に限定して提供されている。Mozillaもその1団体となり、Firefoxのセキュリティ強化に活用した。

今回特定されたバグには、15年前から存在していた<legend>要素に関するバグや、XSLTに関する20年前からのバグが含まれる。サンドボックス回避につながる可能性のあるバグもあり、Mozillaは、AIによる分析が従来のテスト(ファジング)では見つけにくい領域を広くカバーできると説明している。

Mozillaによると、これまでのオープンソースプロジェクトに対する生成AIのセキュリティバグ報告は、もっともらしく見えても誤りが多く、メンテナー側の負担が大きかったという。しかし、ここ数カ月でモデル性能が向上したほか、モデルを制御・拡張し、ノイズを除去する手法も改善され、状況が大きく変化したという。

今回の取り組みでは、既存のファジング基盤上に独自のエージェント型ハーネスを構築し、AIモデルにバグの探索と再現可能なテストケース作成を指示した。初期段階ではClaude Opus 4.6を用いて小規模に検証し、その後、複数の一時的な仮想マシンに処理を並列化。対象ファイルごとにバグ探索を進める仕組みに拡張した。

同団体は、バグを見つけるだけでは大規模運用には不十分だとする。実用化には既知問題との重複排除、バグの追跡、トリアージ、修正プログラムのリリースまでを含むパイプラインとの統合が必要だと述べた。

4月のリリースで修正したセキュリティバグは計423件で、ここ数カ月は外部からの報告も大きく増加しているという。今回の取り組みには100人以上が関わり、コードの提供や修正、レビュー、パイプライン構築、トリアージ、テスト、リリース管理などを担当した。

今後、特定のファイルや関数を対象にした探索に加え、継続的インテグレーションへ組み込み、パッチが取り込まれる段階でスキャンする仕組みの導入を目指す。