AnthropicのAI「Claude」がMozilla Firefoxのコードベースをスキャンし、わずか2週間で22件のセキュリティ脆弱性を発見したことをInfoQが報告しました。熟練したセキュリティ研究者が同規模の調査に数ヶ月を要することを考えると、AIによる自動脆弱性発見が実用段階に達したことを示す重要な事例として業界で注目されています。
Claudeが用いたアプローチは、コードの静的解析にとどまらず、メモリ管理パターンの異常検出、制御フロー解析、過去の脆弱性パターンとの照合を組み合わせたものとされています。Firefoxは数千万行規模のC++/Rustコードで構成されており、その全体をAIが短期間でスキャンできたことは、コンテキストウィンドウの拡大と推論能力の向上が実務に直結し始めたことを示しています。
Hacker Newsでは「これはセキュリティ業界を根本的に変える。防御側がAIを使えば攻撃側も使う軍拡競争が加速する」という見方が活発に議論されました。実際、AIを活用した自動エクスプロイト生成ツールもすでに研究段階にあり、攻撃・防御の両面でAIの活用が加速するという構図は現実のものとなりつつあります。
r/netsecでは「CVE報奨金プログラムにAIが参加する日も近い。人間の研究者との棲み分けはどうなるか」という職業的な関心からの議論が多数展開されました。AIが大量の脆弱性を効率的に発見できる一方、その報告品質・コンテキスト理解・修正提案の質では依然として人間の専門家が不可欠とする意見も根強くあります。
X上では「Mozillaがこれほど協力的に脆弱性情報を公開したのは珍しい。AI活用セキュリティ研究の模範事例として業界全体に広まってほしい」という評価コメントが拡散しています。今後は大手ブラウザベンダー・OSベンダーがAIを活用した継続的な脆弱性スキャンを自社のセキュリティプロセスに組み込む動きが広がる可能性があります。22件という発見件数は序章に過ぎないかもしれません。