AnthropicとMozilla、Claudeが見つけたFirefox脆弱性22件を公表
Original: We partnered with Mozilla to test Claude's ability to find security vulnerabilities in Firefox. View original →
2026年3月6日、AnthropicはXでClaude Opus 4.6がMozillaとの2週間の協業でFirefoxの脆弱性22件を見つけたと発表した。Anthropicによれば、そのうち14件はMozillaによりhigh severityと分類されており、技術ブログでは今回の取り組みをAI-assisted security researchと既存maintainerの連携事例として位置づけている。
Anthropicは、この14件のhigh-severity issueが2025年にremediationされた全high-severity Firefox脆弱性のほぼ5分の1に相当すると述べた。さらにMozillaはFirefox 148.0で修正を数億人規模のユーザーへ配布し、findingの量が急増する環境でAI-enabled security researcherとmaintainerがどう協力できるかを示すモデルケースとして今回の作業を評価したという。
この結果に至るまで、AnthropicはまずClaudeが過去のFirefox CVEを再現できるかを試し、その後で現行codebaseの新規脆弱性探索へ進んだ。Anthropicによれば、モデルは約20分の探索でJavaScript engine内のUse After Free問題を特定した。その後の取り組みでは約6,000のC++ fileをスキャンし、112件のunique reportを提出したという。Mozillaは、どのfindingを実際に報告すべきか、結果をどうtriageするかの調整にも加わった。
この発表が強調しているのは件数だけではない。AnthropicはAI-assisted bug huntingが多数のcrashing inputを生成し得る一方、現実のsecurity workは依然として透明なvalidation、maintainer feedback、coordinated remediationに支えられていると述べた。Mozillaは内部のsecurity workflowでもClaude活用を試し始めている。詳細はAnthropicのMozilla・Firefox security記事で確認できる。
Related Articles
AnthropicはMar 6, 2026、Claudeが特定した脆弱性に適用するdisclosure policyを公開した。標準の公開期限は90日で、actively exploited critical bugには7日対応目標とhuman review要件を置く。
Anthropicは2026年3月5日、Department of Warから供給網リスク指定の通知を受けたと発表した。対象範囲は限定的だと説明しつつ、法的争訟と移行支援を並行する方針を示している。
Hacker Newsで広がったAnthropicとMozillaの協業事例は、Claude Opus 4.6がFirefoxで22件の脆弱性を発見し、そのうち14件がhigh-severityと分類されたことを示した。要点は自律的な魔法ではなく、verifierとtriageを備えたdefender workflowが速くなることにある。
Comments (0)
No comments yet. Be the first to comment!