Mozillaは、Firefox 150で271件の脆弱性を検出し、脆弱性の種類別に分析を行いました。sec-highが180件、sec-moderateが80件、sec-lowが11件です。Mozillaは、sec-highやsec-criticalの脆弱性であっても、通常は単独でFirefoxを侵害できるとは限らず、現実の攻撃では複数の脆弱性を連鎖させる必要があると説明しています。Mozillaは、AIによる脆弱性検出システムの改善を行い、数カ月前までAIによる脆弱性報告には誤検知が多く、開発者に大きな負担をかけていたとのこと。しかし、モデルの性能向上とモデルを制御する独自の仕組みを整えたことで、実用性が大きく変わったそうです。基盤上にエージェント型のハーネスを構築しました。この仕組みは、AIに特定のソースファイルで脆弱性を探させ、再現可能なテストケースを作らせたうえで、実際にクラッシュや危険な挙動が起きるかを確認します。脆弱性はJIT、WebAssembly GC、IndexedDB、WebTransport、XSLT、HTMLテーブル、RLBoxなど、幅広い領域で見つかったとのこと。中には15年前から存在していた<legend>要素の不具合や、20年前から残っていたXSLT関連の不具合も含まれており、従来のファジングや手動調査では見つかりにくい複雑な問題も検出されました。Mozillaは、サンドボックス脱出につながり得る脆弱性が複数含まれていた点に特に注目しています。これらの脆弱性は単独でFirefox全体を侵害するものではなく、別の脆弱性と組み合わせる必要があるものの、攻撃者が権限を拡大する際に重要な経路になり得るそうです。また、Mozillaは「AIが見つけられなかったものにも意味がある」としています。たとえば、過去に導入したプロトタイプ汚染対策がAIの攻撃試行を阻止していたことがログから確認され、既存の多層防御が実際に効果を発揮していることも示されたとのこと。 Mozillaのブライアン・グリンステッド氏は今回の仕組みで発見された脆弱性について「ほとんど誤検知がない」と評価した上で、AIの出力を別のLLMで評価する追加検証も行うことで、開発者が従来の発見手法に近い信頼度で報告を扱えるようになったと述べました。
Firefox 150で公表された271件の 脆弱性 のうち、 sec-high が180件、 sec-moderate が80件、 sec-low が11件です。 Mozilla は、 sec-high やsec-criticalの 脆弱性 であっても、通常は単独で Firefox を侵害できるとは限らず、現実の攻撃では複数の 脆弱性 を連鎖させる必要があると説明しています。
Mozillaによると、数カ月前までAIによる脆弱性報告には誤検知が多く、開発者に大きな負担をかけていたとのこと。 しかし、モデルの性能向上とモデルを制御する独自の仕組みを整えたことで、実用性が大きく変わったそうです。 基盤上にエージェント型のハーネスを構築しました。 この仕組みは、AIに特定のソースファイルで脆弱性を探させ、再現可能なテストケースを作らせたうえで、実際にクラッシュや危険な挙動が起きるかを確認します。
脆弱性はJIT、WebAssembly GC、IndexedDB、WebTransport、XSLT、HTMLテーブル、RLBoxなど、幅広い領域で見つかったとのこと。 中には15年前から存在していた<legend>要素の不具合や、20年前から残っていたXSLT関連の不具合も含まれており、従来のファジングや手動調査では見つかりにくい複雑な問題も検出されました。 Mozillaは、サンドボックス脱出につながり得る脆弱性が複数含まれていた点に特に注目しています。
これらの脆弱性は単独でFirefox全体を侵害するものではなく、別の脆弱性と組み合わせる必要があるものの、攻撃者が権限を拡大する際に重要な経路になり得るそうです。 また、Mozillaは「AIが見つけられなかったものにも意味がある」としています。 たとえば、過去に導入したプロトタイプ汚染対策がAIの攻撃試行を阻止していたことがログから確認され、既存の多層防御が実際に効果を発揮していることも示されたとのこと。
Mozillaのブライアン・グリンステッド氏は今回の仕組みで発見された脆弱性について「ほとんど誤検知がない」と評価した上で、AIの出力を別のLLMで評価する追加検証も行うことで、開発者が従来の発見手法に近い信頼度で報告を扱えるようになったと述べました
Mozilla Firefox AI 脆弱性 検出 改善 システム 基盤 エージェント型 ハーネス AIによる脆弱性検出 誤検知 開発者 負担 モデル 性能向上 モデルを制御する独自の仕組み 再現可能なテストケース クラッシュ 危険な挙動 脆弱性の種類 Sec-High Sec-Moderate Sec-Low サンドボックス脱出 脆弱性が複数含まれていた点 攻撃者 権限を拡大する際に重要な経路 AIが見つけられなかったものにも意味がある ログから確認された 既存の多層防御 効果を発揮している 発見手法 信頼度 報告を扱えるようになった
United States Latest News, United States Headlines
Similar News:You can also read news stories similar to this one that we have collected from other news sources.
ビジネスPCみたいな14型ボディーにRTX 5060とRyzen AIを詰め込んだ“本気”ゲーミングノートPC「ASUS TUF Gaming A14 (2026)」を試す(1/4 ページ)1.46kgの軽量ボディーに、Ryzen AI 9 465とRTX 5060を搭載したゲーミングノートPC「TUF Gaming A14 (2026)」を徹底する。
Read more »
手書き・FAX・領収書まで、「データ入力業務の完全自動化」 VLMベースAI-OCRプラットフォーム「Papers GO AI」提供開始手書き・FAX・領収書まで、「データ入力業務の完全自動化」 VLMベースAI-OCRプラットフォーム「Papers GO AI」提供開始 株式会社AKUODIGITALのプレスリリース
Read more »
株式会社ナイガイ、SKU別発注管理の高度化に向け、在庫管理 AI SaaS「Vestory」を導入株式会社ナイガイ、SKU別発注管理の高度化に向け、在庫管理 AI SaaS「Vestory」を導入 株式会社ハイクリのプレスリリース
Read more »
AI 議事録「Rimo Voice」、iOS/Android対応のモバイルアプリを正式リリースAI 議事録「Rimo Voice」、iOS/Android対応のモバイルアプリを正式リリース Rimo合同会社のプレスリリース
Read more »
【アーカイブ配信開始】エンゲージメントはここまで変わる│AI×キャリア支援の実践事例【アーカイブ配信開始】エンゲージメントはここまで変わる│AI×キャリア支援の実践事例 一般社団法人プロティアン・キャリア協会のプレスリリース
Read more »
「補助金×AI×専門家連携」のトリブリッドSaaS「AI-Mindraft」5日間無料トライアルを開始「補助金×AI×専門家連携」のトリブリッドSaaS「AI-Mindraft」5日間無料トライアルを開始 株式会社Brightのプレスリリース
Read more »