TokyoBlackHatNews

theregister.com 4分で読了

FirefoxがアンスロピックのAIバグハンターを活用、しかし劣化したRAMはビット反転を続けている

アンスロピックのAIとそのバグ検出能力のおかげで、Firefoxユーザーはより強力なセキュリティを享受できるようになりました。残念ながら、セキュリティの欠陥ではなくブラウザクラッシュが問題の場合、Claudeはおそらく役に立つことができません。

MozillaのエンジニアであるGabriele Sveltoは、最近のMastodon投稿で、Firefoxブラウザクラッシュの約10パーセントがソフトウェアエラーではなく、ビットフリップ(メモリの意図しない変更)に起因すると考えていると述べました。

ビットフリップは様々な原因によって引き起こされることができます。宇宙線やRowhammer攻撃などが挙げられます。しかし多くの場合、説明はより単純です – 欠陥のある電子部品が原因です。

「今日、これらのテストから出てくるデータを見ていて、今は100パーセント確信しています…私たちが見るクラッシュの多くはメモリが不良であったり、それに類する不安定なハードウェアを持つユーザーからのものです」と彼は述べました。

Sveltoは、先週、クラッシュレポートをオプトインしたFirefoxユーザーから約470,000件のクラッシュレポートをMozillaが受け取ったと述べました。約25,000件が潜在的なビットフリップであると彼は述べました。

「つまり、20件ごとに1件のクラッシュが悪いメモリまたは不安定なハードウェアが原因の可能性があるということです。これは膨大です!」と彼は述べました。「そしてこれは保守的なヒューリスティックであるため、私たちは実際の数を過小評価しており、おそらく少なくとも2倍になるでしょう。」

そして彼は、メモリ不足などのリソース枯渇によるクラッシュを差し引いた場合、ハードウェアに起因するクラッシュの割合は約15パーセントまで上昇すると述べました。

Sveltoは、彼の研究が主にコンピュータと携帯電話に焦点を当てていますが、これらの問題はルーターやプリンターなどすべてのデバイスに存在していると述べました。

人々がハードウェアエラーレートに驚いたのはこれが初めてではありません。Googleの研究者は2009年にそのデータセンターのDRAMエラーを調べ、DRAMエラーレートが「以前に報告されたより数桁高く、ビットあたり10億デバイス時間ごとに25,000~70,000エラーで、1年ごとにエラーの影響を受けるDIMMの8パーセント以上」であることに驚きました

ビットフリップはMozillaの制御を超えていますが、同社はアンスロピックのレッドチームの助けでソフトウェアを補強することができました。

数週間前、MozillaエンジニアのBrian GrinsteadとChristian Hollerはブログ投稿で、アンスロピックが新しいAIベースの脆弱性検出システムをFirefoxチームに提案したと述べました。

彼らは以前のAI支援バグ検出システムの成果がまちまちであったが、このシステムは異なっていたと述べました。

「数時間以内に、プラットフォームエンジニアが修正を実装し、ブラウザコードベース全体の残りの部分に同じテクニックを適用するためアンスロピックとの緊密なコラボレーションを開始しました」と彼らは述べました。「合計で、この作業により14個の高度なバグを発見し、22個のCVEを発行しました。これらのバグはすべて最新バージョンのブラウザで修正されています。」

アンスロピックは述べていますが、最近のClaude Opus 4.6モデルを使用してこれを実現し、AIモデルに現在パッチされた脆弱性の1つ(CVE-2026-2796)の動作するエクスプロイトを生成させたと述べています。

「明確にするために、Claudeが書いたエクスプロイトは、現代のWebブラウザのセキュリティ機能の一部を意図的に削除するテスト環境内でのみ機能します」と、セキュリティ研究者のEvyatar Ben Asher、Keane Lucas、Nicholas Carlini、Newton Cheng、およびDaniel Freemanはブログ投稿で説明しました。「Claudeはまだ、ブラウザサンドボックスをエスケープするために複数の脆弱性を組み合わせた「フルチェーン」エクスプロイトを書いていません。これが実際の害を引き起こすものです。」

しかし、その時が来ることは遠くないかもしれません。

「進行状況を見ると、最先端モデルの脆弱性発見能力と搾取能力間のギャップが長く続く可能性は低いです」とアンスロピックは述べています。「将来の言語モデルがこの搾取バリアを突破した場合、悪意のある行為者によるモデルの誤用を防ぐために、追加の安全装置またはその他のアクションを考慮する必要があります。」®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/06/firefox_bugs_anthropic_ai/

ソース: go.theregister.com
#AIバグ検出 #Anthropic #Claude #Firefox #セキュリティ脆弱性 #ハードウェア #ビットフリップ #ブラウザセキュリティ #メモリエラー #脆弱性診断

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張