Mozilla は2026年5月7日、Anthropic の大規模言語モデル「Claude Mythos」プレビュー版を活用して Firefox の脆弱性数百件を特定・修正したと明らかにした。Simon Willison's Weblog が同日伝えた。バグ修正件数は2025年に月間20〜30件だったが、2026年4月には423件へと急増した。数ヶ月前まで「unwanted slop」として敬遠されてきたモデルによるバグレポートの急増は、モデル性能の向上と活用技術の洗練という二つの要因によるものとみられる。
Mozilla は Anthropic の Claude Mythos プレビューへのアクセスを確保し、Firefox のコードベースを横断的に解析した。修正された脆弱性の中には、約20年前から存在する XSLT(Extensible Stylesheet Language Transformations)のバグや、15年前の HTML の <legend> 要素に関するバグが含まれる。コードベースの特定領域への深い知識を要するこれらのバグは、従来のセキュリティレビューでは長期間見過ごされてきたとみられる。
ほんの数ヶ月前まで、モデルが生成するオープンソースプロジェクト向けバグレポートの多くは「unwanted slop」として敬遠されていた。見かけ上もっともらしくても実際は誤っている報告への対応は、プロジェクトのメンテナーに大きな非対称的コストを課す。問題の探索自体は低コストでも、各報告を検証し対処するには多大な時間と労力が必要なためだ。誤検知の多さに直面した多くの開発者は、モデルからの報告を効率的に処理する術を見いだせずにいた。
この状況が変化した背景には二つの要因がある。第一はモデル能力そのものの向上だ。現行世代のモデルはコードのコンテキストをより深く把握し、初期モデルと比較して誤検知を大幅に減らした。信頼性の高い脆弱性報告が増加したことで、メンテナーの検証作業の負担が軽減されたとみられる。
第二の要因は、モデルを制御・規模拡大させ、既存のツールやワークフローと組み合わせる技術の進歩だ。特定の脆弱性パターンに特化したプロンプト設計や、検証プロセスとの統合により、人間が介入する前段階で高品質なレポートが生成されるようになったとみられる。この改善が、大量の正確なシグナルを生成しながら不要なノイズを排除することを可能にした。
今回の取り組みでは、多くの脆弱性探索の試みが Firefox 既存の多層防御(defense-in-depth measures)に阻まれたことも確認された。これらの防御策が実際に機能していることを裏付ける結果でもある。
参考: Simon Willison’s Weblog (アーカイブ) — 2026年5月8日 02:56 (JST)
原文ハイライト"unwanted slop"