📑 目次
Mozillaが開発したAIバグ発見ツール「Mythos」が、ソフトウェアセキュリティの常識を塗り替えようとしている。同ツールはFirefoxなどのコードベースを対象に271件の脆弱性を発見し、誤検知(偽陽性)がほぼゼロという精度を達成したとMozillaは発表している。人間のセキュリティエンジニアが何週間もかけて行う作業を、AIが自動化する——その具体的な成果が、初めて数字で示された。
「271件、誤検知ほぼゼロ」——何が起きたのか
Mozillaは2026年5月、AIを活用した脆弱性発見システム「Mythos」の成果を公開した。Mythosは自社製品のコードを自動的に解析し、セキュリティ上の欠陥(バグ)を検出するツールだ。
発表によると、Mythosは271件の脆弱性を発見した。注目すべきは「誤検知がほぼゼロ」という点だ。従来の自動化ツールは、実際には問題のない箇所を「バグ候補」として大量に報告してしまう傾向があった。エンジニアはその膨大なリストを手作業で精査しなければならず、自動化の恩恵が半減していた。Mythosはその課題を大幅に解消したとされる。
セキュリティ分野では「ファジング(fuzzing)」と呼ばれる手法が広く使われる。ファジングとは、ソフトウェアに大量のランダムな入力データを与え、予期しない挙動や異常終了を引き起こすことでバグを発見する技術だ。Mythosはこのファジング技術にAIを組み合わせ、テストの効率と精度を同時に向上させていると報じられている。
なぜ「誤検知ゼロ」がそれほど重要なのか
ソフトウェア開発の現場では、バグを見つけることと同じくらい、「本当のバグだけを見つける」ことが難しい。自動化ツールが1,000件の警告を出しても、そのうち本当に対処が必要なものが10件だとすれば、残りの990件を確認する作業はエンジニアの時間と集中力を奪う。
誤検知が多いツールは、現場に「警告疲れ」をもたらす。警告が多すぎると、エンジニアは徐々に警告を無視するようになり、本物の脆弱性を見落とすリスクが高まる。これはセキュリティ業界で長年指摘されてきた構造的な問題だ。
Mythosが「誤検知ほぼゼロ」を実現したとすれば、エンジニアはツールが出す警告を信頼して即座に対処できる。アラートの信頼性が上がれば、修正サイクルが短くなり、製品のリリース速度にも直結する。
AIがセキュリティ分野にもたらす影響については、AIが広げた穴を、AIで塞げるかでも詳しく取り上げている。攻撃にも防御にもAIが使われる時代において、防御側のツール精度向上は業界全体の喫緊の課題だ。
Mozillaはなぜ今、これを公開したのか
Mozillaはオープンソースブラウザ「Firefox」の開発元として知られる非営利団体だ。Firefoxのコードベースは数百万行規模に達しており、セキュリティ上の脆弱性は利用者に直接的なリスクをもたらす。そのため、同団体はセキュリティ研究に継続的に投資してきた。
Mythosの成果公開は、単なる技術的な報告にとどまらない。AI活用によるバグ発見が「実用レベルに達した」という証明を、数字で示した点に意義がある。271という具体的な件数と、誤検知ほぼゼロという精度の組み合わせは、業界に対する明確なメッセージだ。
また、セキュリティツールの透明性という観点も重要だ。Mozillaはオープンソース文化を重視する組織であり、成果を公開することで他の開発者や研究者がMythosの手法を参照・検証できる環境を整えようとしているとみられる。
ビジネスへの影響——セキュリティエンジニアの役割はどう変わるか
MythosのようなAI駆動のバグ発見ツールが普及すれば、ソフトウェア開発の品質管理プロセスは根本から変わる可能性がある。
現在、セキュリティエンジニアの業務の多くは「コードレビュー」と「テスト結果のトリアージ(優先順位付け)」に費やされている。AIが高精度で脆弱性を自動検出できれば、エンジニアはより複雑な脅威の分析や、セキュリティアーキテクチャの設計といった高度な業務に集中できる。
一方で、採用基準や人員配置にも影響が出るという見方もある。アナリストが消え、AIが残るという構図は、セキュリティ領域でも現実味を帯び始めている。ただし、脆弱性の発見と修正は別問題だ。AIがバグを見つけても、そのバグを修正し、再発を防ぐ判断はまだ人間の専門知識に依存する部分が大きい。
企業視点では、ソフトウェア開発コストの削減という直接的なメリットがある。セキュリティ上の欠陥が後工程で発見されるほどコストは膨らむ(IBMの調査では、本番環境で発見されたバグの修正コストは開発初期の最大15倍に達するとされる)。開発早期にAIが自動検出できれば、コスト効率は大幅に改善する。
課題と今後の展望
Mythosの成果は印象的だが、課題もある。まず、今回の成果はFirefoxというMozillaが深く熟知したコードベースでの結果だ。他社の製品や、異なるプログラミング言語で書かれたコードへの汎用性については、追加の検証が必要だとされる。
また、「誤検知ほぼゼロ」という表現の定量的な定義が明確でない点も注意が必要だ。何件中何件が誤検知だったのか、具体的な数値が公開されれば、第三者による再現性の確認が可能になる。
AIによるセキュリティ強化は、攻撃側も同様の技術を活用するという側面もある。脆弱性の発見速度が上がれば、悪意ある攻撃者もAIを使ってより早く、より多くの脆弱性を探せるようになる。防御側と攻撃側のAI活用競争は、今後さらに激化するとみられる。
MozillaはMythosをFirefox以外のプロジェクトにも展開していく方針とされており、今後の適用範囲の拡大が注目される。
まとめ
MozillaのMythosは、「AIがバグを見つける」という話を実績の数字で証明した最初の事例の一つだ。271件の発見と誤検知ほぼゼロという成果は、ソフトウェア品質管理へのAI導入を検討するすべての組織にとって、無視できない参照点になる。
参考・出典
- Ars Technica — Mozilla says 271 vulnerabilities found by Mythos have almost no false positives
- Mozilla — Security(公式セキュリティページ)
- Mozilla Hacks(Mozilla公式技術ブログ)

















