Firefox未更新の人は要注意？AIが発見した「深刻度・高」の脆弱性14件とは

「Firefoxは安全」って思ってたけど….

毎日何気なく使っているWebブラウザ。「大手のブラウザだし、セキュリティは問題ないだろう」と思っている方は多いのではないでしょうか。実は、そんな”安全神話”を根底から揺さぶるニュースが飛び込んできました。

AI開発企業Anthropicが、自社の最新AIモデル「Claude Opus 4.6」を使い、Mozilla Firefoxのソースコードからわずか2週間で22件のセキュリティ脆弱性を発見したのです。しかもそのうち14件が深刻度「高（High Severity）」と判定されました。これは、2025年にFirefoxで修正された深刻度「高」の脆弱性全体のおよそ5分の1に相当する数です。

今回は、このニュースが私たちの日常にどう関わるのか、そしてブラウザのセキュリティを守るために今やるべきことを、じっくり解説していきます。

何が起きた？

Anthropic×Mozilla、異例のタッグ

今回のプロジェクトは、AnthropicとMozillaの共同セキュリティリサーチとして実施されました。Anthropicが開発した最新の大規模言語モデル「Claude Opus 4.6」（2026年2月リリース）を使い、Firefoxのソースコード約6,000個のC++ファイルを2週間にわたってスキャンしています。

その結果、合計112件のユニークなレポートがMozillaに提出されました。このうちセキュリティに関わる脆弱性として22件のCVE（共通脆弱性識別子）が発行され、14件が深刻度「高」、7件が「中」、1件が「低」と分類されました。高深刻度の脆弱性以外にも、クラッシュやロジックエラーなど約90件の非セキュリティ問題も同時に発見されています。

見つかった脆弱性の大半は、2026年2月24日にリリースされたFirefox 148ですでに修正済みです。残りも今後のアップデートで順次対応される予定となっています。

最初の発見は、たった20分

特に注目すべきは、Claudeが最初にJavaScriptエンジンの「Use After Free（解放後使用）」と呼ばれる脆弱性を見つけるのにわずか20分しかかからなかった点です。Use After Freeとは、メモリ上で解放されたデータ領域に再びアクセスしてしまうバグで、悪用されると攻撃者が任意のデータを書き込める深刻な問題になり得ます。この発見は、人間の研究者が仮想環境で独立して検証し、本物の脆弱性であることが確認されました。

AIの脆弱性探索は従来手法と何が違う？

「ファジング」 vs 「AIによるコード推論」

ソフトウェアのセキュリティテストで広く使われている手法に「ファジング（Fuzzing）」があります。これは、プログラムにランダムなデータを大量に投げ込んで、クラッシュなどの異常動作を誘発する方法です。量で勝負する”総当たり戦”に近いアプローチと言えます。

一方、Claude Opus 4.6が行ったのは、人間のセキュリティ研究者のようにコードの文脈を読み解く手法です。具体的には、過去に修正されたバグのパターンを学習して類似の未修正箇所を探し出したり、問題を起こしやすいコードの”クセ”を見抜いたりします。さらに、どんな入力をすればそのコードが壊れるか、ロジックのレベルで理解できるとAnthropicは説明しています。

しかも、特別な専用ツールやプロンプトの調整なしに、いわば“素の状態”で脆弱性を検出できたのが大きなポイントです。これまでのAIによる脆弱性検出は、専門的なツール連携や精密なプロンプト設計が必要でした。それが不要になったということは、今後この技術がより幅広く使われる可能性を意味します。

「見つける」と「悪用する」の間にある大きな壁

では、AIがこれだけの脆弱性を見つけられるなら、攻撃にも使えてしまうのでしょうか？

今回、Anthropicは見つけた脆弱性を実際にエクスプロイト（悪用するための攻撃コード）にできるかも検証しています。結果は、APIクレジット約4,000ドル（約60万円）をかけて数百回テストし、成功したのはわずか2件でした。しかも、成功した攻撃コードはサンドボックスなどの防御機能を意図的に無効化したテスト環境でしか動きませんでした。

つまり現時点では、AIは脆弱性を「見つける能力」は非常に高いが、それを「武器化する能力」はまだ発展途上ということです。Anthropicはこの結果について、ブラウザの多層防御が実際に機能していることの証明でもあると述べています。

ただし、Anthropicのレッドチーム（セキュリティ検証チーム）は、この状況が長くは続かないとも警告しています。CVE-2026-2796（CVSSスコア9.8）というWebAssemblyの重大な脆弱性については、Claudeが自力でエクスプロイトを書くことに成功しており、AIの攻撃能力が着実に伸びていることを示す”早期警告”だとしています。

これは”良いニュース”として受け止めるべき

防御側にとっての追い風

「AIが脆弱性を見つける」と聞くと、サイバー攻撃のリスクが高まるのでは？ と心配になるかもしれません。しかしスマホライフPLUS編集部としては、このニュースはポジティブに捉えるべきだと考えています。

理由はシンプルです。今回の脆弱性は攻撃者より先に発見され、すでに修正されたからです。従来のセキュリティリサーチでは、人間の研究者が何ヶ月もかけて見つけていたレベルのバグを、AIは2週間で洗い出しました。Mozillaのセキュリティ責任者もこの結果を高く評価し、今後は社内でもAIを活用したセキュリティ研究を進める意向を示しています。

大切なのは、AIの検出スピードが上がっている今、「攻撃者が悪用するより先に、防御側がバグを潰す」という時間との戦いで有利に立てる点です。

気になる点：レポートの”洪水”問題

一方で課題もあります。AIが短期間に100件超のレポートを送ってきた結果、Mozillaは「インシデント対応」に近い体制で複数のエンジニアリングチームを動員して対応に追われたと報じられています。今後、AIによるバグ報告が当たり前になれば、オープンソースプロジェクトのメンテナンス負荷が急増する可能性があり、その対策も急務です。

まとめ

難しい話が続きましたが、私たちユーザーがやるべきことは実はとてもシンプルです。

Firefoxを最新版（148以降）にアップデートしてください。メニュー → 「ヘルプ」 → 「Firefoxについて」を開けば、バージョンの確認と更新が一度にできます。たったこれだけで、今回見つかった脆弱性のほぼすべてから保護されます。

そしてもう一つ。これはFirefoxに限った話ではありません。Chrome、Edge、Safariなど、お使いのブラウザは常に最新版に保つ習慣をつけてください。ブラウザは私たちがインターネットに触れる”玄関口”です。その鍵がサビついたままでは、どんなセキュリティソフトを入れても意味がありません。

AIがセキュリティの世界を加速させている今、私たちにできる最大の防御策は、「アップデートを後回しにしない」という、とても地味だけど確実な一歩です。

出典；【Techrader】

※サムネイル画像はスマホライフPLUS編集部が作成したものです。