Ars Technicaが5月7日に報じたところによると、Firefoxの開発元Mozillaは、AnthropicのAIモデル「Mythos」を使って2ヶ月間で271件のFirefoxセキュリティ脆弱性を発見したと公式ブログで明らかにした。Mozillaの技術担当者は「AIによるバグ発見に完全に賭ける(completely bought in)」と表明しており、セキュリティエンジニアリングの現場にとって注目に値する発表だ。
なぜこの発表が注目されるのか
AI補助による脆弱性発見は目新しいアイデアではない。しかし従来の手法では「コードをプロンプトで渡す→AIが大量のバグレポートを出す→人間が確認すると大半がハルシネーション」というサイクルが繰り返されていた。MozillaがMythosで達成したのは、この構造的な問題の実質的な克服だ。
Mozillaによれば、成功の核心は2点に集約される。(1)モデル自体の性能向上、そして(2)エージェントハーネスと呼ばれるカスタム実行基盤の開発だ。
海外レポートのポイント:ハーネスループが変えたもの
Ars TechnicaによるMozilla Distinguished EngineerのBrian Grinstead氏へのインタビューによると、ハーネスとは「LLMを特定のタスク群に沿って動かすためのラッパーコード」のことだ。
Grinstead氏はその仕組みをこう説明している。「ハーネスはLLMに指示を与え(例:『このファイルのバグを探せ』)、ツールを提供し(例:ファイルの読み書きやテストケースの評価)、タスクが完了するまでループで実行し続けます」
特筆すべきは、このハーネスがMythosに対して、人間のMozillaエンジニアが使うのと同じ開発ツールやビルドパイプラインへのアクセスを与えている点だ。メモリ安全性の問題を探す際は、サニタイザビルドのFirefoxを使い、クラッシュを再現できれば「発見成功」という明確な成功基準が定義されている。
さらにもう一つのLLMが最初のLLMの出力を採点する「二段構え」の検証システムも導入されており、これが誤検知をほぼゼロに抑える要因になっているとGrinstead氏は述べている。Mozillaのエンジニアブログでは、「報告されるバグにおいて誤検知はほぼない(almost no false positives)」と明言されており、従来のファジングや静的解析ツールと遜色ない信頼性を達成していると評価されている。
日本市場での注目点
MythosはAnthropicが開発したセキュリティ向けの専用AIモデルであり、現時点では一般向けにリリースされているわけではない。FirefoxはWindows・macOS・Linux向けに無償提供されており、今回の取り組みはオープンソースプロジェクトのセキュリティ品質向上に直結する。
日本のソフトウェア企業・セキュリティチームにとっての実践的な示唆は、「Mythosを使う」ことよりも、エージェントハーネスという設計思想にある。明確な成功判定基準を定義し、AIエージェントをループで動かし続けるアーキテクチャは、コードレビュー・テスト自動化・セキュリティ監査のあらゆる場面に応用できる汎用的な考え方だ。
筆者の見解
「ハーネスループ」——この概念こそが、今回の発表を単なるAIヒューピー話から一線を画す理由だと筆者は見ている。
AIエージェントがループで自律的に動き続け、自分で仮説を立て、テストし、検証する。人間が全件確認するという副操縦士的な構造に留まらず、エージェント自身が判断・実行・検証のサイクルを回し続ける——これが本来のAIエージェントの姿であり、Mozilla×Mythosの取り組みはその具現化に成功した事例として評価したい。
従来型のAI補助ツールが「大量のプロンプト→大量のノイズ→人間が全件確認」という構造的なボトルネックを抱えていたのに対し、ハーネスを介した自律ループは「成功判定基準の設計」という最も人間らしいタスクに集中させ、それ以外はエージェントに任せる分業を実現している。
日本のIT現場でも、「AIに聞いてみたけど使えなかった」という経験が普及を阻んでいるケースは多い。しかし今回の事例が示すのは、問題はAI自体の能力ではなく、どう使うか——特に「どういうハーネスを設計するか」——にあるという点だ。セキュリティエンジニアだけでなく、開発プロセス全般を担うチームが参照すべき事例と言えるだろう。
出典: この記事は Mozilla says 271 vulnerabilities found by Mythos have “almost no false positives” の内容をもとに、筆者の見解を加えて独自に執筆したものです。