Puter Labsが公開した「Firefox in WebAssembly」は、見た目だけを真似た「Firefox風」の代物ではない。ページを描画するレンダリングエンジンGeckoと、JavaScriptを実行するSpiderMonkeyエンジンまでまるごとWebAssemblyへ移植し、ブラウザのタブの中で「本物のFirefox」を起動してしまう試みだ。開発チームはAIエージェントを大量に投入し、費やしたトークン代は2万5000ドル(約400万円)を超えたという。

「ブラウザの中のブラウザ」が動く仕組み #
Gecko/SpiderMonkeyはもともとC++やRustで書かれた巨大なネイティブコードベースだ。これをWebAssemblyへコンパイルすると、ホストブラウザが提供するサンドボックス(WASMの線形メモリ空間)の中に、もう一つ独立したブラウザエンジンが閉じ込められる形になる。理論上は、ホスト側のJITコンパイラの脆弱性を突く攻撃面を経由せず、ネストしたエンジン内で任意のウェブページを実行できることになる。動作速度はネイティブより大幅に落ちるが、「隔離された使い捨てブラウザ」を作る手段としては新しい発想だ。
セキュリティ屋が注目すべき点 #
一つはサンドボックス内サンドボックスという構造そのもの。マルウェア解析用の使い捨て閲覧環境や、社内ポリシーで許可されない拡張機能を隔離実行する用途に転用できる可能性がある。もう一つは、巨大なブラウザエンジンをAIが大量のトークンを使って移植した、という開発プロセスそのものへの懸念だ。人間がレビューしきれない量のAI生成/AI移植コードが、セキュリティクリティカルなコードベースに紛れ込むリスクは今後さらに顕在化するだろう。「動いた」ことと「安全に動いている」ことは別問題であることを、この実験は静かに示している。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。