世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

Mozillaが見た「Claude Mythos」の実力：20年前のバグまで掘り当てたAIの話

記事のキーポイント

Mozillaが、Anthropicの非公開AIモデル Claude Mythos Preview を使ってFirefoxのセキュリティ調査を実施した
その結果、423件のセキュリティバグ修正につながり、うち 271件 はMythosに関連づけられた
その中には、20年前から残っていたバグ も含まれていたという
以前のAIは「それっぽいけど間違い」な提案、いわゆる slop が多かったが、今回のモデルはコードの深い部分まで追えるほど進化したとMozillaは評価
Anthropicはこのモデルを一般公開しておらず、限られた企業だけ が使える状態になっている

20年もの間、見つからなかったバグをAIが見つけた

Mozillaがかなり面白い発表をしました。
Firefoxを作っているMozillaが、Anthropicの未公開AIモデル Claude Mythos Preview を使ったところ、長年見逃されていたセキュリティ上の問題を大量に見つけた というのです。

しかも、その中には 20年前から存在していたバグ まで含まれていたそうです。
この手の話、正直かなりインパクトがあります。20年というのは、ソフトウェアの世界ではもはや“化石”みたいなものです。それをAIが掘り当てたとなると、「AIって文章を書く道具でしょ？」というイメージをかなり更新させられます。

Mozillaによると、4月のFirefoxリリースで修正したセキュリティバグは 合計423件。そのうち 271件 は、Claude Mythos Previewを使った作業に結びついているとのことです。
1月は修正件数が25件だったそうなので、伸び方がかなり急です。3月でも76件だったので、AIの効き方が一段と強くなっているのがわかります。

何がそんなにすごいのか

ここで大事なのは、AIが「勝手にバグを直した」わけではないことです。
あくまで、人間が見つけきれなかった問題の候補をAIが発見する、という使われ方です。

セキュリティの世界では、fuzzers というテスト手法があります。
これは、ソフトウェアにめちゃくちゃな入力を大量に投げ込み、壊れ方を見てバグを探す方法です。いわば「わざと意地悪なテストをしまくる」感じですね。

Mozillaは、あるバグについて「fuzzersでも何年も検出されなかった」と述べています。
ここがかなり重要です。つまり、従来の自動テストでは届かなかった場所に、AIが踏み込めたわけです。

以前のAIは“それっぽいだけ”だった

Mozillaの説明で印象的だったのは、以前のAIによるバグ報告は “slop” だった、という点です。
slopは雑な出力、つまり「もっともらしいけど中身が怪しい」ものを指します。

これはAIあるあるです。
文章は自信満々なのに、よく見るとズレている。コードレビューでも、バグ報告でも、こういう“見た目だけ立派”な回答は本当に厄介です。現場の人からすると、検証コストが増えるだけなので、むしろ邪魔になることもあります。

でも今回のMythosは違った、とMozillaは言っています。
広大なブラウザのコードベースを読み解き、深く埋もれた欠陥まで見つけられた。
この「コードベースを読み解く」というのは、単に検索が速いという話ではありません。何万行、何十万行ものコードのつながりを追いかけ、どこでセキュリティが破れるのかを見極める力が必要です。そこまで来ると、かなり“相棒感”があります。

なぜMythosは一般公開されていないのか

Anthropicは、このMythosモデルを公開していません。
理由は、強力すぎると悪用されるリスクがある からだと説明しています。具体的には、国家安全保障やオンライン犯罪に関わる危険があると考えているようです。

このあたりは、AIの進化が速いほど避けて通れない話です。
強力なツールは、守りにも使える一方で、攻撃にも使えてしまいます。
Mozillaのような大きな開発組織にとっては恩恵が大きいけれど、同じ能力が悪意ある人の手にも渡ると面倒なことになる。だからこそ、限られた企業だけにアクセスを許しているのでしょう。

Mozillaは今後、Firefox開発にAIをもっと組み込むつもり

Mozillaは、今回の成果を受けて、AIによる解析をFirefoxの開発パイプラインに直接組み込む 方針だとしています。
「開発パイプライン」というのは、コードを書いて、テストして、修正して、製品に入れるまでの一連の流れのことです。

つまり、AIを一回きりの実験で終わらせず、日常的な開発の仕組みに入れる つもりだということです。
これはかなり自然な流れだと思います。AIは派手なデモより、こういう地味だけど継続的に効く使い方のほうが強い。セキュリティや保守の世界では特にそうです。

率直に言うと、これは「AIが仕事を奪う」話というより「AIが地味な穴埋めを得意にする」話

今回のニュースで面白いのは、AIが何かを“創造”したというより、人間と既存ツールが見逃した穴を淡々と埋めた ところです。
こういう役割、地味ですがすごく重要です。

ソフトウェアのバグって、派手な見た目の問題より、ずっと長く潜んでいる小さなズレが原因になることが多いです。
だから、AIが「深く、広く、しつこく」探せるなら、かなり実用価値がある。少なくともMozillaの事例を見る限り、これは単なる話題作りではなさそうです。

一方で、ここで即「AIが人間のセキュリティエンジニアを完全に置き換える」と考えるのは早いと思います。
たぶん実際は、AIが候補を大量に出し、人間が精査する 形が一番強いはずです。
AIは優秀な探偵の助手にはなれても、最終的な捜査官はまだ人間、という感じでしょうか。

まとめ

Mozillaの発表は、AIの実力が「文章生成」から「実務の深い領域」に広がっていることを示す例としてかなり興味深いです。
特に、20年見つからなかったバグを見つけた という話は、インパクトが大きい。誇張なしで、ソフトウェア保守の世界におけるAIの役割が変わりつつあるサインだと思います。

ただし、これは同時に、強力なAIは簡単には公開できない という現実も示しています。
便利さとリスクがセットになっているあたり、いかにも今のAI時代らしいニュースです。

参考: A company tested Claude Mythos Preview. It says the AI found a bug that existed for 20 years

同じ著者の記事

Gemini API File Searchがマルチモーダル対応に。RAGをもっと実用的にするGoogleの新アップデート

Googleが、Gemini APIのFile Searchツールを大きくアップデートしました。今回のポイントは、ざっくり言うと「テキストだけでなく画像もまとめて検索できるようになった」こと、そして「検索の根拠をページ単位で示しやすくなった」ことです。これ、地味に見えてかなり重要です。RAG（検索拡張生成）を実際にアプリへ入れようとすると、「欲しい情報がうまく見つからない」「どの資料のどこを根拠に答えたのか説明しにくい」といった壁にぶつかりがちなんですよね。Googleはそこを、かなり実務寄りに改善してきた印象です。 File Searchがmultimodal対応 テキストだけでなく、画像も一緒に扱えるようになった custom metadataに対応 ファイルに `department: Legal` のようなラベルを付けて、整理・絞り込みしやすくなる page-level citationsを追加 どのページを根拠に答えたかを示しやすくなり、透明性が上がる RAGをより「実用」寄りに改善 プロトタイプだけでなく、業務アプリ