Anthropic、ClaudeがMozillaとの2週間の取り組みでFirefox脆弱性22件を発見したと公表

Anthropicは2026年3月6日、Xでfrontier modelはすでにworld-class vulnerability researcherの水準に達しているが、現時点では脆弱性を悪用するよりも見つける方が得意だと書いた。この投稿は、MozillaとFirefoxのセキュリティ改善で協力した公式記事にリンクしている。Anthropicによれば、Claude Opus 4.6は2週間でFirefoxの脆弱性22件を発見し、そのうち14件はhigh-severityだった。さらに同社は、その件数がMozillaが2025年に修正したhigh-severity bug全体のおよそ5分の1に当たると説明した。

この発表が重要なのは、抽象的なcyber benchmarkではなく、実際に広く使われている大規模codebaseを対象にした結果だからだ。単なるCTFやsynthetic testではなく、Mozillaが実際にremediatedした脆弱性につながっている点で、運用上の意味が大きい。Anthropicのメッセージは明確にdefensiveで、現在のモデルは弱点の発見と検証では強いが、信頼できるexploit連鎖ではまだ同等ではないため、その非対称が続く間にsoftware securityを引き上げるべきだとしている。

• 範囲: Mozillaと行ったFirefox向けの構造化されたセキュリティ協業。
• 結果: 2週間で22件の脆弱性、そのうち14件がhigh-severity。
• 主張: 現在のfrontier modelは防御側のセキュリティ業務を大きく加速できるが、攻撃能力も今後伸びる可能性がある。

政策面での含意も大きい。AIとcybersecurityの議論は将来の攻撃リスクに偏りがちだが、この事例は防御利用がすでに実運用段階にあることを示す。大規模repositoryを読み、project contextを追い、候補となるvulnerabilityを浮かび上がらせるモデルは、セキュリティレビューの経済性を変えうる。人員が限られたmaintainerにとって、完全自律の攻撃能力よりも先に、より速く見つけ、より速く直す価値が現れていると言える。

同時に、Anthropicの警告も重要だ。同社は現在のバランスが長く続くとは言っていない。むしろ、今はdefenderに有利な時間が開いているので、その間に手を打つべきだと主張している。だからMozillaとの協業は研究成果であるだけでなく、タイミングに関するシグナルでもある。secure development processの近代化を遅らせる組織は、AIが見つけることと修正支援で特に有利だった時期を逃す可能性がある。