AnthropicとMozilla、Claude Opus 4.6で2週間にFirefox脆弱性22件を発見

AnthropicはMarch 6, 2026の発表で、Mozillaとのsecurity collaborationを通じてClaude Opus 4.6が2週間でFirefox脆弱性22件を発見したと明らかにした。このうちMozillaは14件をhigh-severity vulnerabilityとして分類した。Anthropicによれば、これは2025年にremediationされたhigh-severity Firefox vulnerability全体のほぼ5分の1に相当する。

Anthropicはさらに、Claude Opus 4.6がFebruary 2026に見つけたFirefox脆弱性の件数だけでも、2025年のどの単月より多かったと説明している。Mozillaはこれらの報告をtriageし、修正をFirefox 148.0へ反映してhundreds of millions of usersに配布した。つまり今回の成果は研究段階の数字ではなく、実際のbrowser release workflowに組み込まれた点に意味がある。

この協業は、まず過去のFirefox CVE datasetを使ってClaudeが既知の脆弱性をどれだけ再現できるかを評価するところから始まった。その後、現在のFirefox codebaseに存在する未報告のnovel vulnerability探索へと進んだ。AnthropicはJavaScript engineを最初の対象に選び、Claudeが約20分のexploration後にUse After Free bugを報告したとしている。研究者は独立したvirtual machineで再現確認を行い、内部でも検証した上で、Claudeが書いたproposed patchを添えてBugzillaに報告した。

Anthropicの説明で重要なのは、model outputだけで完結していない点だ。見つかったissueは人間のsecurity researcherが再現し、triageし、修正計画に載せる流れを経ている。AIが単独でbrowser securityを自動化したというより、AIが探索速度を押し上げ、人間のmaintainerとsecurity teamが最終判断を担う運用モデルが見えてきたという形だ。

Firefoxは複雑で広く使われるbrowserであり、daily basisでuntrusted contentを処理する。そのため、ここでの高深刻度bug発見能力はopen-source security全体への示唆が大きい。AnthropicとMozillaは今回の協業を、AI-enabled security researchersとsoftware maintainersが共同で高リスク脆弱性に対応する新しい実務モデルとして提示している。