Mozilla、AI脆弱性検出で271件発見と発表
原題: Mozilla says 271 vulnerabilities found by Mythos have "almost no false positives"
なぜ重要か
AI活用による大規模なセキュリティ脆弱性検出の実用化事例として、ソフトウェア開発業界の品質向上手法に大きな影響を与える可能性がある。
MozillaはAnthropic MythosというAIモデルを使い、2ヶ月間でFirefoxの脆弱性271件を発見したと発表した。同社は「ほぼ偽陽性なし」と評価し、カスタム開発したハーネスシステムが成功の鍵だったと説明している。
MozillaのCTOが先月「AIによる脆弱性検出でゼロデイは終わりを迎える」と宣言し注目を集めた。同社は懐疑的な反応を受け、Anthropic MythosというAIモデルの実用化について詳細を公開した。Mozilla Distinguished EngineerのBrian Grinstead氏によると、過去のAI脆弱性検出では「不要なゴミ」が多く、もっともらしいバグレポートを大量生成するものの、詳細を調査すると多くが幻覚によるものだった。今回の成功要因は2つあり、まずモデル自体の改善、そして最も重要なのがMozillaが開発した専用ハーネスシステムだった。このハーネスはLLMを特定タスクに導くコードで、プロジェクト固有のセマンティクス、ツール、プロセスに合わせて大幅なカスタマイズが必要だ。Grinstead氏は「モデルに指示を与え、ファイル読み書きやテストケース評価などのツールを提供し、完了まで繰り返し実行する」と説明した。ハーネスによりMythosは人間の開発者と同じツールやパイプラインにアクセスでき、Firefoxの特別なテスト用ビルドも使用できた。メモリ安全性問題の検出では、sanitizerビルドでクラッシュを発生させることが成功の指標となった。