ハクソク

世界を動かす技術を、日本語で。

AnthropicのレッドチームによるFirefoxの強化

45日前原文(blog.mozilla.org)

概要

  • Firefoxのセキュリティ強化事例
  • AnthropicによるAI支援の脆弱性発見
  • 14件の重大バグと22件のCVEを修正
  • AI分析の有効性と今後の活用方針
  • オープンな開発姿勢とユーザー保護への継続投資

Firefox、AnthropicのRed Teamとの協業によるセキュリティ強化

  • Firefoxは20年以上にわたり最も厳しく監査されてきたオープンソースのウェブブラウザ
  • オープンソースによりコードが公開され、世界中のコミュニティによるレビューとテストが実施
  • 数週間前、Anthropic’s Frontier Red Teamが新しいAI支援の脆弱性検出手法でFirefoxのセキュリティバグを発見
  • 報告されたバグは再現可能なテスト付きで、Firefoxエンジニアが迅速に検証・修正を実施
  • Firefox 148リリース前に修正を反映し、ユーザーの安全性と安定性を向上

AI支援によるバグ検出の新手法

  • AIによるバグ報告は従来、誤検知が多く、オープンソースプロジェクトに負担をかけることが課題
  • Anthropicの報告は、最小限のテストケース付きで再現性が高く、迅速な対応が可能
  • JavaScriptエンジンでの重大バグをAIが発見、エンジニアが数時間で修正を開始
  • この手法を他のコードベースにも適用し、合計14件の重大バグと22件のCVEを発行
  • 22件のセキュリティ関連バグに加え、90件のその他のバグも発見・修正

AIと従来手法の比較・補完

  • 低リスクのバグには、fuzzing(異常入力による自動テスト)で検出されるものも含まれる
  • AIはこれまでfuzzingで見つからなかった論理エラーも指摘
  • Anthropicは研究プロセスの技術的な解説も公開
  • 継続的な改善のためにAI分析と従来技術の組み合わせが有効であると実証

FirefoxにおけるAI活用の意義と今後

  • Firefoxは長年にわたりfuzzingや静的解析、定期的なセキュリティレビューを実施
  • それでもAIモデルが未知のバグを多数発見
  • 広く利用されるオープンソースプロジェクトとして、AI支援の新しい防御ツールの実証フィールドとなった
  • MozillaはAI分析を内部セキュリティワークフローに統合し、攻撃者より先に脆弱性を発見・修正する体制を構築

オープンな開発とユーザー保護への取り組み

  • Mozillaは常に公開開発とコミュニティ協力を重視
  • 新技術をユーザーの安全のために活用するという長年の方針を継続
  • Anthropic Frontier Red Teamとの協業は責任あるバグ報告と実用的な修正につながった好例
  • AIによる攻撃・防御の加速に対応し、ツール・プロセス・協力体制への投資を継続
  • Firefoxの強化とユーザー保護のため、今後も積極的な技術導入と改善を推進

Hackerたちの意見

バグについて何も言及されてないのはちょっと変だよね。これが「めったに起こらない変なケース」なのか、実際の問題なのか、見てみたいな。LLMは以前に見た失敗パターンを特定する能力がすごいけど、それが必ずしも意味のあるものとは限らないし。
確かに、これがなければふわふわしたマーケティング記事に見えるね。
これらの中のいくつかかもしれないね: https://www.mozilla.org/en-US/security/advisories/mfsa2026-1...
それらは元の記事の中にリンクされてるよ [1]。 [1] https://www.mozilla.org/en-US/security/advisories/mfsa2026-1... [2] https://www.anthropic.com/news/mozilla-firefox-security
彼らが見つけたバグの一つについての詳細はこちら: https://red.anthropic.com/2026/exploit/
Claudeが見つけたバグの中にはかなり深刻なものもあったってのは、単に「まあ、LLMだし、どうでもいい」ってことじゃないよね。リストは僕にはかなり意味があるように見えるけど、そもそも僕はセキュリティの専門家じゃないし。
LLMの良い使い方の一つだね:ファジーテスト / 攻撃。
これに反論するつもりはないけど(確かにそうだと思う)、実際のファジングを使うよりもLLMを使う方が質的に良いのはなんで?
これらをセキュリティ脆弱性としてカウントしたのは面白いね(リンクされたAnthropicの記事から) > 「粗雑」というのは重要な注意点だね。Claudeが書いたエクスプロイトは、意図的に現代のブラウザにあるいくつかのセキュリティ機能を取り除いたテスト環境でしか動かなかったんだ。特に重要なのはサンドボックスで、これはこういった脆弱性の影響を減らすためのものなんだ。だから、Firefoxの「深層防御」はこれらの特定のエクスプロイトを軽減するのに効果的だったはずだよ。
[Anthropicで働いてて、以前はMozillaにいたよ。] Firefoxは、何かを脆弱性と見なすためにフルチェーンエクスプロイトを必要としたことはないよ。公開されたFirefoxの脆弱性の大部分は、サンドボックスプロセス内の脆弱性なんだ。Firefoxのセキュリティ重大度評価のドキュメントを見てみると: https://wiki.mozilla.org/Security_Severity_Ratings/Client そこで見るのは、サンドボックス内の脆弱性やサンドボックスからの脱出が、どちらも独立して脆弱性と見なされていることだよ。Chromeも似たような方法で脆弱性を考慮してるね。
サンドボックスでブロックされていても脆弱性を修正するのは重要だよ。攻撃者は、後で補完的なエクスプロイトが見つかることを期待して部分的な0-dayをストックしてるから。つまり、サンドボックスの脱出だけでは役に立たないけど、誰かがこれらの修正されたバグの一つと組み合わせて使ってた可能性もあるからね。これはセキュリティのトリアージと修正における明確な成功だと思う。
システムの別の部分が機能してるからって、これらの脆弱性を軽視するのは適切じゃないと思う。サンドボックスの脱出はたくさんあるし、サンドボックスがあるからって、サンドボックスでの尋問に到達できないわけじゃない。ここでも同じことだよ。サンドボックスが存在するからって、バグを軽視しないでほしい。
結果はまちまちだったな。エージェントが得意なことは、 1. 新しいテストを作ってカバレッジを増やすこと。プロパティテストへの移行。ファジングの設定。静的解析ツールの設定。これらは通常「時間」がかかるけど、今はバックグラウンドタスクになってる。 2. 脆弱性を見つけることができる。まあ「まあまあ」って感じだけど、トークンを使い切る覚悟があれば問題ない。 3. 安全だと言ってることが全然間違ってることもある。Claudeがセキュリティ境界が存在すると明言したことがあったけど、実際には存在しなかった。つまり、chrootが制限をかけるように見えるけど、実際には十分な境界ではなかった。複数のモデルがその境界を特定して「非常に安全」とか言ってたこともあった。これが何度も起こって、問題を指摘するのにかなりの手間がかかった。 4. 「ローカル」なバグにはよく対応できるみたい。明らかに危険なパターンのもの。例えば「それはポインタのデリファレンスだ」とか「それは配列アクセスだ」とか「それは `unsafe {}` だ」とかね。逆に「ローカル」でない脆弱性には全然ダメ。製品の機能が組み合わさって危険な動作をする場合、AIがそれを見抜くのはまだ無理だと思う。これは驚くべきことじゃないよね。エージェントを「パターンマッチャー」として扱うなら、危険なパターンを見つけてその特性を確認するのは驚くことじゃないけど、「あなたの製品には無関係な機能、バグ、デプロイプロパティが複数あって、それが脆弱性に繋がる」ってのは簡単には気づかない。モデルの安全性の主張には懐疑的でいることが大事。脆弱性を見つけるのは大きいけど、間違いを見抜く力も必要だね。
[Mozillaで働いてる] LLMが時々間違うのには同意するよ。だからこそ、この新しい方法がすごく価値があるんだ。簡単に検証できるテストケースを提供してくれるから、正しいか間違ってるか分からない分析だけじゃない。静的な脆弱性レポートをただトリアージするのはすごく時間がかかるし、誤検知も多い(純粋な静的解析と同じ問題)。「ローカル」なバグについてはもう確認できないけど、モデルによるものかもしれない。昔の実験では確かにそうだった、特に「ワンショット」アプローチでは、ソースコードを一度プロンプトして分析を求めるみたいなやつね。でも、エージェントSDKが登場して、もっと文脈を自動的にまとめられるようになってからは変わった。
セキュリティには、従来の静的分析でパターンマッチングがあったけど、あんまり良くなかった。個人的には、AIファーストの静的分析セキュリティツールを2つ使ってみて、雇用主のSaaS技術スタックで面白いビジネスロジックの問題を含む素晴らしい結果が出たよ。1つのツールは統合したんだ。どれか言えるように雇用主の承認を待ってるけど、残念ながらまだそれは実現してない。
Mozillaが更新したのはすごいね。https://www.mozilla.org/en-US/security/advisories/mfsa2026-1... だって、誰が一回のリリースで22の脆弱性を見つけたのかみんな気になってたから(最初は誰にも帰属されてなかったし)。
Anthropicのレポート[1]は、全てのAI企業が自社製品について話すべき方法だと思う。誇張なしで、うまくいったこととうまくいかなかったことを正直に伝えてる。改善点も強調してるし。 1: https://www.anthropic.com/news/mozilla-firefox-security
その部分が気になった。夜通し動いてるAIエージェントの中途半端なシステムを作った一人として、Claudeにやらせてることの一つは、可能な限り形式的検証を使って解決策を確認することなんだ。これがAnthropicが部分的にやってることかもしれないね。これは、プロパティテストが単純なユニットテストよりも好ましいっていうプロンプトを追加するいいリマインダーにもなったし、Ready状態になった時にコードのファズテスト用のプロンプトを作るのも考えてる。
もしかしたら見逃したかもしれないけど、偽陽性については言及されてないね。
宣伝みたいに聞こえるね。
> Firefoxはランダムに選ばれたわけじゃない。広く展開され、深く scrutinized されているオープンソースプロジェクトだから、新しい防御ツールの理想的な試験場だ。考えていたのは、「Chromiumチームは絶対に協力してくれないだろうな、彼らにはGeminiがあるし、Safariは製品開発に関して秘密主義の会社が持ってるから」と。
サファリにとってはただの別の攻撃面だね。ブラウザをブラックボックス攻撃する必要があるから、彼らがやったことよりもずっと難しい。
最終的には、GoogleのOSS-Fuzzみたいなものがコアのオープンソースプロジェクトに登場するかもしれないし、バグバウンティプログラムを少し置き換えるかもね。AnthropicはすでにOSSのメンテナーにClaudeのアクセスを無料で提供してる。LLMがあると、誰でも提出できるバグバウンティプログラムを運営するのが難しくなったし、たくさんの人が見た目はしっかりしたけど結局間違った報告で溢れかえってたからね。一方で、最新世代のLLM(最高の設定で)は、問題領域を十分に理解して正当な問題を特定できるようになったと思う。LLMの評価は、無料や安価なプランで行われることが多く、その品質は確かに悪い。バグバウンティプログラムを設定すると、必然的に質の悪い報告が来る(提出コストが通常0だからね)。その代わりに「トップティアのLLMバグサーチプログラム」を持っていれば、品質基準が確保できて、メンテナーは高品質な報告を受け取れるようになるかも。バグバウンティプログラムを維持するために、手数料を要求することで救えるかもしれないし、LLMを使うのもありかもね。
> AnthropicはすでにOSSのメンテナーにClaudeのアクセスを無料で提供してる。確か、6ヶ月間無料で、それ以降は自動更新されるはず。
> たくさんの人が見た目はしっかりしたけど結局間違った報告で溢れかえってた。提出されたバグ報告を自動で検証するプロジェクトはあるのかな?たとえば、VMを立ち上げてエージェントがバグ報告を再現しようとするみたいな。そしたら面白いね。
Anthropicは「信頼性」の面で他のAI企業をリードし続けてるね。もし彼らが本気でレッドチームを試したいなら、CUPSを見てほしいな。
MozillaがAIに賭けてるみたいだけど、ちょっと心配だわ。