【重要】Firefoxに高重大度な脆弱性22件発見!AIが暴いたセキュリティリスク
Firefox脆弱性発見のニュース概要
アンソロピックは、モジラとのセキュリティ連携において、ファイアフォックスに22件の脆弱性を発見した。
そのうち14件は「高重大度」に分類されている。
これらのバグの大部分は、2月にリリースされたファイアフォックス148で修正済みだが、一部修正は次期リリースまで待つ必要がある。
アンソロピックのチームは、2週間かけてクロード・オパス4.6を使用し、JavaScriptエンジンからコードベースの他の部分へと調査範囲を広げた。
チームは、ファイアフォックスが「複雑なコードベースでありながら、世界で最もテストされ、安全なオープンソースプロジェクトの一つ」であるため、焦点を当てたという。
注目すべき点として、クロード・オパスは脆弱性を発見する能力は、脆弱性を悪用するソフトウェアを作成する能力よりも優れていた。
チームは、PoC(概念実証)型の悪用コードを作成するために4,000ドルのAPIクレジットを費やしたが、成功したのは2件のみだった。
それでも、AIツールがオープンソースプロジェクトにとってどれほど強力であるかを示す事例であり、有用なものとともに、大量の質の低いマージリクエストが寄せられる可能性も示唆している。
AI活用調査の注目ポイント
- アンソロピック社とモジラ社の連携で、Firefoxに22件の脆弱性が発見。うち14件は深刻度が高いと分類された。
- チームはAI「クロード・オパス」を活用し、JavaScriptエンジン等、Firefoxのコードベースを2週間かけて調査した。
- 脆弱性の発見にはAIが優れる一方、実際に悪用可能なコードを作成するには4,000ドル相当のAPIクレジットを費やし、2件のみ成功。
Firefoxセキュリティの分析・解説
AnthropicとMozillaのセキュリティ連携により、Firefoxに22件の脆弱性が発見された。
そのうち14件は「高」の深刻度と分類されており、大部分は2月にリリースされたFirefox 148で修正済みである。
残りの修正は次期リリースで対応される予定だ。
Anthropicチームは、2週間かけてClaude Opus 4.6を使用し、JavaScriptエンジンからコードベース全体にわたって脆弱性を探した。
Firefoxを選んだ理由として、複雑なコードベースでありながら、最もテストされ、安全なオープンソースプロジェクトの一つである点が挙げられる。
興味深い点として、Claude Opusは脆弱性の発見は得意だが、それを悪用するソフトウェアの作成は不得意だった。
概念実証型の悪用コードを作成するために4,000ドルのAPIクレジットを使用したが、成功したのは2件のみだった。
しかし、この事例はAIツールがオープンソースプロジェクトに提供できる可能性を示唆している。
同時に、有用なプルリクエストと共に、大量の不適切なプルリクエストが押し寄せることが予想される。
AIによる脆弱性発見は、ソフトウェアセキュリティの新たな潮流となる可能性がある。
※おまけクイズ※
Q. 記事の中で、アンソロピックのチームがFirefoxの脆弱性調査に用いたAIモデルは何ですか?
ここを押して正解を確認
正解:クロード・オパス4.6
解説:記事の本文中に「アンソロピックのチームは、2週間かけてクロード・オパス4.6を使用し、JavaScriptエンジンからコードベースの他の部分へと調査範囲を広げた。」と記載されています。
詳しい記事の内容はこちらから
参照元について
