Claude Opus 4.6がFirefoxから未知の脆弱性22件を発見——AIコードセキュリティ分析の実力と課題

概要
何が起きたか
発見プロセスの技術的詳細
実務視点：この事例が意味すること
まとめ
参考情報

概要

本稿では、AnthropicのAIモデル「Claude Opus 4.6」がMozillaとの協働でFirefoxブラウザから22件の脆弱性（うち14件が高深刻度）を発見した事例について、技術的な発見プロセスと実務上の意味を解説します。

何が起きたか

2026年3月6日、AnthropicとMozillaはそれぞれ公式ブログで、AIによるFirefoxの脆弱性発見プロジェクトの成果を公表しました。Anthropic Frontier Red TeamがClaude Opus 4.6を用いて2週間のスキャンを実施し、合計112件のバグレポートをMozillaに提出しています。このうち22件にCVEが割り当てられ、14件がMozillaにより高深刻度と分類されました。Mozillaによれば、22件のCVEはすべて公開時点の最新バージョンで修正済みです。112件全体としては大半がFirefox 148（2026年2月24日リリース）に反映され、残る一部は今後のリリースで対処予定となっています。

Mozillaのシニアプリンシパルエンジニア Brian Grinstead氏はAxiosの取材に対し、複数のエンジニアリングチームを動員してインシデント対応に近い体制で100件超のバグを処理したと述べています。Anthropicによれば、今回の14件の高深刻度脆弱性は、2025年にFirefoxで修正された高深刻度脆弱性全体の約5分の1に相当します。また、22件という月間の脆弱性発見件数は、2025年のどの単月よりも多い数字です。

発見プロセスの技術的詳細

経緯：評価用ベンチマークから実戦へ

Anthropicが今回のプロジェクトに至った背景は、モデル評価の延長線上にあります。2025年後半、前世代のOpus 4.5がCyberGym（既知脆弱性の再現を測定するベンチマーク）のタスクをほぼ完全に解けるようになり、より難易度の高い評価環境が必要になりました。そこでFirefoxの過去CVEを再現させるデータセットを構築し、Opus 4.6が歴史的なCVEの多くを再現できることを確認しています。しかし、過去のCVEは学習データに含まれている可能性があるため、最終的に「現行バージョンのFirefoxで未知の脆弱性を発見できるか」という実戦テストに移行しました。

最初の20分とスケールアウト

最初のターゲットはFirefoxのJavaScriptエンジンです。独立したコンポーネントとして切り出しやすく、外部の信頼できないコードを処理するため攻撃面が広いという理由があります。Claude Opus 4.6は探索開始から約20分でUse After Free（解放済みメモリの再利用）脆弱性を1件発見しました。Anthropicの研究者3名が独立した仮想マシン上で再現確認を行い、BugzillaにバグレポートとClaude生成のパッチ案を提出しています。

この最初のバグの検証・提出作業中に、Claudeはさらに50件のクラッシュ入力を発見していました。Mozilla側から連絡があり、技術的な議論の後、個別検証なしで一括提出するよう促されています。最終的にClaudeは約6,000件のC++ファイルをスキャンし、112件の固有レポートを提出しました。

脆弱性の内訳

MFSA 2026-13を見ると、Anthropic起因のCVEにはJavaScript Engine/JIT/WebAssemblyのUse After FreeやJIT miscompilation、DOMやIndexedDBのメモリ安全性問題、Audio/Video系の境界条件不備や整数オーバーフロー、ImageLibの問題、Networking: Cacheのmitigation bypassなどが含まれています。セキュリティ対象外の約90件についても大半が修正されました。Mozillaは、この中に従来のファジングでは見つかっていなかった種類のロジックエラーが含まれている点を指摘しています。

脆弱性を見つける力と、実際に悪用する力の差

Anthropicは発見した脆弱性のエクスプロイト（攻撃コード）作成も試みています。ローカルファイルの読み書きを実証する攻撃を目標に数百回の試行を行い、APIクレジット約4,000ドルを消費しましたが、成功したのは2件のみでした。さらに、これらのエクスプロイトはサンドボックスを含む一部の防御機構を意図的に外したテスト環境でのみ動作するものです。実際のFirefoxでは多層防御がこれらの攻撃を抑えるとAnthropicは説明しています。

この結果は、現時点のAIモデルが「脆弱性の発見」と「脆弱性の悪用」の間に大きな能力差を持つことを示しています。発見コストに対してエクスプロイト作成コストは桁違いに高い状況です。

実務視点：この事例が意味すること

防御側に有利な時間的猶予

Anthropicは、現時点では防御側が先行しやすい期間にあると説明しています。AIが脆弱性を発見する能力はすでに実用水準に達していますが、エクスプロイトを自動生成する能力はまだ限定的です。この差が持続する間に、ソフトウェアのセキュリティ基盤を強化すべきだというのが彼らの主張です。

ただし、Anthropic自身も「この能力差が長く続く可能性は低い」と認めています。将来のモデルがエクスプロイト自動生成の壁を突破した場合、追加のセーフガードが必要になるという見通しを示しています。

AI脆弱性レポートの品質問題

今回のプロジェクトはAI支援バグハンティングの成功事例ですが、業界全体では状況が異なります。curlプロジェクトでは2025年にAI由来の低品質レポートが深刻な問題となり、Daniel Stenberg氏は同年の有効率が5%未満だったと報告しています。その後、2026年1月にバグバウンティプログラムの終了が公表されました（1月31日停止）。Stenberg氏はWall Street Journalの取材に対し、「AIチャットボットはいまだにセキュリティ問題を容易にハルシネーションする。だが同時に、本物の問題を見つけるAIコード解析ツールも存在する」と述べています。

今回のAnthropicのアプローチが成功した要因は、Mozilla側も明確に指摘しています。再現可能な最小テストケースの添付、詳細なPoC（概念実証）、そしてClaudeが生成したパッチ候補の3点です。AIが脆弱性を「発見した」と主張するだけでは不十分であり、メンテナが検証・対応できる品質の情報提供が求められます。

OSSメンテナへの負荷集中

もう一つの実務的な論点は、AIによる大量バグレポートがオープンソースプロジェクトのメンテナに与える負荷です。Mozillaは複数のエンジニアリングチームを動員して「インシデント対応」体制でトリアージを行いました。Mozillaのような大規模プロジェクトであればリソースを確保できますが、少人数で維持されているOSSプロジェクトが同様の対応を行えるかは別の問題です。

Anthropicは協調的脆弱性開示（CVD）の運用原則も公表しており、現時点では業界標準のプロセスに従うとしています。AI発見速度が人間のトリアージ能力を上回る状況が常態化した場合、このプロセス自体の見直しが必要になる可能性があります。

Claude Code Securityとの接続

今回の発表は、2026年2月20日に限定リサーチプレビューとして公開されたClaude Code Securityと連動しています。Claude Code Securityは、EnterpriseおよびTeam顧客向けにコードベースの脆弱性をスキャンし、人間のレビュー向けにパッチ候補を提示する機能です。これに先立つ2月5日、AnthropicはOpus 4.6のシステムカードとあわせてゼロデイ研究を公表し、実運用のオープンソースコードベースから500件超の脆弱性を発見したと報告しています。Firefoxの事例は、この能力が広く知られた大規模OSSでも通用することを具体的に示したものです。

まとめ

Firefoxは20年以上にわたりファジング、静的解析、コミュニティレビューを重ねてきたプロジェクトです。それでもClaude Opus 4.6は2週間で22件の未知CVEを発見しました。AIによるコードセキュリティ分析が、既存の手法では到達できなかった領域に踏み込みつつあることの実証といえます。同時に、エクスプロイト自動生成能力との差、AI生成レポートの品質管理、OSSメンテナへの負荷という現実的な課題も浮き彫りになっています。防御側がこの時間的猶予をどう活用するかが、今後のソフトウェアセキュリティの方向性を左右することになりそうです。