Mozillaは、Mythos発表以前からAnthropic社と協力しウェブブラウザ「Firefox 148」の脆弱性発見にOpus 4.6を利用し、14件の重大なバグを含む22件の脆弱性の発見に成功していた。
そして、「Firefox 150」では「Claude Mythos Preview」を利用し、271件の脆弱性が発見された。この結果からMozilla CTOのボビー・ホーリー氏は、Mozillaのホームページでこうコメントしている。
「25年であれば、こうした脆弱性が1つでも存在すれば警戒レベルだったはずなのに、これほど多くの脆弱性が同時に存在するとなると、対応しきれるのかどうか疑問に思えてくる」
すでに限界に達している脆弱性管理システム
こうしたMozillaの懸念は、現実になる可能性がある。実際、Mythosが誕生する以前から、世界を支える脆弱性管理システムはすでに処理能力の限界に達している。
NIST(アメリカ国立標準技術研究所)は4月15日、世界的に信頼されている脆弱性情報データベースNVD (National Vulnerability Database)に掲載されているCVE (Common Vulnerabilities and Exposures:共通脆弱性識別子)の取り扱い方針を大幅に変更すると発表した。
CVEとは脆弱性に「CVE-YYYY-NNNNN」(例: CVE-2026-12345)といった固有IDを付与し、リスト化した事典である。
ただ、CVEだけではその脆弱性の影響範囲や脆弱性の危険度を判断することができないため、NVDではCVEにCVSS(Common Vulnerability Scoring System)と呼ばれる指標を付与することで、個々の脆弱性の影響範囲や危険度を分析するためのデータベースを維持、管理している。
しかし近年、ソフトウェアの増加によってCVEが急増。NISTは24年4月25日に脆弱性分析に遅延が発生している事実を表明し、26年4月15日にはNVDの運用方針を変更した。
例えば、25年は4万2000件のCVEを精査。これは過去最高を45%上回る数字で、20年から25年の間では263%増加しており、26年に入ってもそのペースは衰えるどころか、さらに増加傾向にあったという。
NISTは、もはやすべてのCVEを精査する従来の方針を継続するのは不可能と判断し、重要性の高いCVEを優先的に分析し、それ以外のCVEについては「優先度低」として扱うこととした。
これは、Mythosが世の中に解き放たれる以前の話であり、言わば人間による脆弱性の発見が主流であった時代の話である。
次ページが続きます:
【Mythos発表後、6週間で起きたこと】
