MozillaがAI活用でFirefox大規模セキュリティ強化
原題: Mozilla: Behind the Scenes Hardening Firefox
なぜ重要か
AIがセキュリティ分野で実用レベルに達し、従来の手法では発見困難な潜在的脆弱性の大規模検出が可能になったことを示す重要な事例
Mozillaは5月7日、Claude Mythos PreviewなどのAIモデルを活用してFirefoxの潜在的セキュリティバグを前例のない規模で特定・修正したと発表した。2週間前の発表に続き、具体的な手法と発見されたバグの詳細を公開。20年前の古いXSLTバグから最新のWebAssembly問題まで幅広く検出した。
Mozillaは、AIモデルを使用したFirefoxのセキュリティ強化の詳細を公開した。数ヶ月前まで、AIが生成するセキュリティバグレポートは品質が低く、メンテナーにとって負担となっていた。しかし、この状況は急激に変化した。主な要因は、モデルの能力向上と、AIを効果的に活用する技術の大幅な改善である。
Mozillaは通常、修正後数ヶ月間はバグレポートを非公開にしているが、今回は業界への緊急性を考慮し、修正済みバグの一部を例外的に公開した。公開されたバグには、WebAssemblyのJIT最適化による偽オブジェクト作成の脆弱性(Bug 2024918)、15年間潜んでいたlegend要素のバグ(Bug 2024437)、IPCを介した競合状態によるサンドボックス回避(Bug 2021894)、NaN値を悪用したオブジェクトポインタ偽装(Bug 2022034)などが含まれる。
その他にも、ネストしたイベントループとガベージコレクションを組み合わせたUAF脆弱性(Bug 2024653)、WebTransportの証明書ハッシュを悪用した親プロセスUAF(Bug 2022733)、DNS関数呼び出しを傍受して再現されるHTTPS RR解析でのバッファオーバーリード(Bug 2023958)、20年前のXSLTバグでハッシュテーブル再ハッシュ中のメモリ解放問題(Bug 2025977)など、多様で複雑な脆弱性が発見された。