AI-Papers
- Claude Mythos PreviewがFirefoxの271件のバグを特定し、うち180件が「高」重大度と評価された
- 月次バグ修正数は2026年4月に423件に達し、導入前の月次水準(17〜76件)から15倍超に跳ね上がった
- 20年以上前のXSLT関連バグを含む長年の未解決問題も検出、修正はFirefox 150に取り込まれた
Claude Mythos Previewとは
Anthropicが開発した「Claude Mythos Preview」は、同社の一部パートナーに限定公開されている最新AIモデルです。汎用的な対話や文章生成にとどまらず、大規模ソフトウェアのコード解析に特化した能力を備えており、Mozillaはそのアーリーアクセスを通じてFirefoxのセキュリティ評価に活用しました。
Mozillaは以前からAIを用いたバグハンティングに取り組んでいましたが、Claude Mythosの導入によってその規模と精度が大幅に向上したとしています。オープンソースのコードベースに対してAIが深い解析を行うことで、これまで人手だけでは発見できなかった脆弱性の組み合わせも検出できるようになりました。
271件のバグ発掘と重大度別の内訳
Claude Mythosが特定してFirefox 150に組み込まれたバグは合計271件です。重大度別に分類すると、「高」が180件、「中程度」が80件、「低」が11件という内訳となっています。「高」に分類されたバグは悪用された場合にユーザーへの直接的な被害につながるリスクがあり、優先的な修正対象となりました。
完全な修正には100人以上の開発者によるコード変更が必要と見込まれており、全件を同時並行で対処することは現実的ではありません。Mozillaは重大度と悪用可能性を基準に優先順位を設けながら、段階的に対応を進めています。
月次修正件数が15倍超に跳ね上がった経緯
Mozillaのセキュリティ報告数は2025年下半期に月17〜31件程度で推移していました。2026年2月に61件、3月に76件と増加傾向を示した後、Claude Mythosを本格活用した2026年4月には423件に達し、過去最高を記録しました。
この急増はAIが静的解析やコードレビューを自動化するだけでなく、人間のレビュアーが見落としがちな関数間の依存関係や境界値条件を体系的に検証できることによるものです。従来のファジング(プログラムにランダムな入力を与えてクラッシュを誘発する検査手法)と組み合わせることで、発見率がさらに高まっています。
20年超の未解決バグも発掘
今回注目されるのは、XSLT(XML文書をHTMLや他の形式に変換するためのXML関連技術)に起因する20年以上前のバグや、HTMLの legend 要素に潜む長年の問題が検出された点です。これらは既存のテストスイートでは再現条件が複雑すぎて発見されず、長期間コードベースに残存していました。
AIが過去のコミット履歴や仕様書を参照しながらコードを横断的に解析することで、こうした歴史的な技術負債の掘り起こしが可能になりました。AlphaEvolveがGeminiを活用して数学やチップ設計の実問題を自律解決した事例と同様に、AIが実際の開発インフラに対して定量的な成果をもたらした事例として位置づけられます。
オープンソース開発への影響
Mozillaの取り組みは、商用製品のみならずオープンソースプロジェクトでもAIがセキュリティ品質管理の主力ツールになりえることを示しています。100人規模の変更が必要な修正を月423件ペースで処理するためには、AIによる優先度付けと自動生成されたパッチ案の活用が不可欠です。
一方で、修正の最終判断や、変更が別の問題を引き起こさないかを確認するリグレッションテストは依然として人間の判断を要します。AIとエンジニアが役割を分担しながら品質管理のサイクルを高速化する体制が、今後のオープンソース開発の標準的なアプローチになっていく可能性があります。
