人工知能が先端の脆弱性研究に参入
人工知能は、単なるコード支援を越えて、独自の脅威ハンティングを実現し、先端の脆弱性研究の領域に正式に参入しました。この高度な発見速度は、従来の手動研究をはるかに上回り、AIは2025年のどの月よりも多くの脆弱性を1ヶ月で発見しました。
AnthropicとMozillaの協力による発見
AnthropicとMozillaは、Claude Opus 4.6モデルが2026年2月のわずか2週間でFirefoxの22のセキュリティ脆弱性を独立して発見するという画期的な協力を実現しました。Anthropicは、ClaudeをCyberGymベンチマークでテストし、歴史的なCommon Vulnerabilities and Exposuresを再現した後、Firefoxの実際のコードベースに放り出しました。
脆弱性の詳細
研究チームは、ブラウザのJavaScriptエンジンを戦略的にターゲットにし、その広い攻撃面が信頼性のない外部コードを通常処理するためです。わずか20分の自律的な探索で、Claudeは重要なUse After Freeメモリ脆弱性を特定しました。この特定のメモリ腐敗クラスは、攻撃者が任意の悪意のあるペイロードでデータを上書きできるようにします。
AIの脆弱性発見能力と限界
AIは、ゼロデイ脆弱性の発見に優れていますが、それらを機能的なエクスプロイトに変換することは依然として効率的ではありません。Anthropicの研究者は、モデルにローカルファイルを読み書きするための原始的なエクスプロイトを開発するよう課題を与えました。しかし、数百回の自動化された試行に4,000ドルのAPIクレジットを費やしても、Claudeはシステムをわずか2回しか破壊できませんでした。
脆弱性の対応と防御戦略
Mozillaは効率的にこれらの大量の提出をトリアージし、Firefox 148.0リリースで数百万人のユーザーに必要なセキュリティパッチを配布しました。フロントランナー言語モデルが世界クラスの脆弱性研究者に進化するにつれて、防御者はパッチングインフラストラクチャを現代化する必要があります。
AI生成の脆弱性レポートに対する信頼性要件
- 最小限のテストケースを提出して、特定のクラッシュ入力を迅速に隔離します。
- 脆弱性の実行パスを明確に示す詳細なPoCを提供します。
- 検証済みの候補パッチを提供して、最終的な修正タイムラインを加速します。
これらの要件は、FirefoxセキュリティチームがAI生成のバグレポートを信頼するためのものであり、セキュリティチームはこれらの要件を満たす必要があります。
元記事: https://gbhackers.com/claude-ai-exposes-22-firefox-vulnerabilities/