【元Yahoo!エンジニアの視点】Claude Mythosの「ミトス問題」に学ぶ、AIスクリーニングが現場の工数を崩壊させる構造と対策

はじめに

元Yahoo! JAPANエンジニアの山田健太郎です。

現在は富裕層や経営者向けに完全隔離型のローカルAI環境（プライベートAI）を構築する仕事をしています。

現在、AI・セキュリティ界隈で大きな議論を呼んでいる、AIによる脆弱性自動検知ツールをめぐる騒動をご存知でしょうか。

OSS（オープンソースソフトウェア）の超重要コンポーネントである curl のリード開発者に対し、AIが検知した脆弱性報告が突きつけられたものの、精査した結果、その大半が誤検知であり、「自社AIの優秀さをアピールするためのマーケティングに現場が利用された」と開発者が大激怒した事件が話題となりました。

この問題は、オープンソースの世界だけの話ではありません。一般企業のDXやAIセキュリティツールの導入現場でも、全く同じ構造の悲劇が起きています。今回は元エンジニア視点から、この問題が現場にもたらす「工数崩壊」のリアルと、管理者が取るべき防衛策について考察します。

1. AIが1秒で出す「誤検知」が現場の数日を奪う

AIを用いたコードスキャンや静的解析ツールは、ボタン一つで数万行のコードを検証し、大量のアラートを出力してくれます。一見、生産性が上がったように見えますが、現場のエンジニアリング視点から見ると、ここには大きな罠があります。

組織で働くエンジニアの工数は、クォーター（四半期）ごとのコミットメント（新機能開発やシステム改修など）でガチガチに固められています。そこに、真偽の怪しい「AIが見つけた脆弱性レポート」が突発的な「差し込みタスク」として降ってきたらどうなるでしょうか。

1. レポートのコンテキストを理解する
2. ステージング環境で再現コードを書いてみる
3. 実際に脆弱性として成立するか検証する

こうした「仕分け作業」をこなすだけでも、数時間から丸一日、量によっては数日間の開発リソースが一瞬で消し飛びます。AIが1秒で生成したノイズの後始末のために、生身のエンジニアの物理的なライフ（工数）がゴリゴリと削られていくのが現実です。

2. 評価制度のバグ：突発的なセキュリティ対応は「加点」されない

さらに現場のモチベーションを粉砕するのが、企業における「評価制度のねじれ」です。

期初に握った「新規機能のリリース」や「サービスの売上直結のシステム改修」は、達成して初めて評価シートの点数になります。一方で、上から急に降ってきた「AIツールの誤検知の仕分け」や「優先度の低いバグ修正」は、夜遅くまで残業してどれだけこなしても、今期の加点評価に繋がらないケースがほとんどです。

• 既存タスクの引き算（スケジューリングの再調整）がない
• 突発対応に対する足し算（加点インセンティブ）もない

この状態で「セキュリティは最優先だから」という正論だけで丸投げされると、エンジニアにとってはただの理不尽な「無駄な労働」に感じられ、組織に対するエンゲージメントは秒で腐っていきます。

3. ビジネスにおける「優先順位」の冷徹な現実

セキュリティはもちろん重要です。しかし、エンジニアリング資源は有限であり、ビジネスには必ず優先順位（プライオリティ）が存在します。

AIがドヤ顔で検知してくるバグの多くは、「特定の異常なエッジケースが何重にも重ならないと絶対に発火しない挙動」など、実際のプロダクション環境では優先度が極めて低いコンテキストであるケースが多々あります。

明日すぐにリモートコード実行されて顧客情報が流出するような致命的なホールなら、文字通り寝ずにでも直すべきです。しかし、「悪意あるユーザーが極端な試行を膨大に繰り返して、ようやく1回エラーが出るかもしれない」レベルの挙動に、今走っている最重要のコア開発をストップさせてまでリソースを割くのは、経営・技術戦略としてコストパフォーマンスが最悪です。

4. エンジニアリングマネージャーや経営陣が絶対にやるべき3箇条

今回の騒動の本質は、ツールの提供企業による「すごいでしょマーケティング」のベンチマーク（実証実験の道具）として、世界中の現場エンジニアの貴重な工数がタダ働きに近い形で消費される点にあります。

一般企業がAIツールやセキュリティスキャナーを導入する際、管理者は、ツールに使われるのではなく、ツールを動かす「人間」を一番に守らなければなりません。具体的には、以下の3つを必ずセットで設計する必要があります。

1. トリアージの徹底
   AIの警告を鵜呑みにして丸投げせず、人間のプロが「本当に今直すべき致命的なものか」を冷徹に見極め、不要なノイズは現場に下ろす前に弾く。
2. リソース（既存タスク）の引き算
   対応を指示する場合は、エンジニアが現在抱えているスプリントのタスクを物理的に削り、検証・修正のための時間を公認で確保する。
3. 明確なインセンティブ（加点評価）の設計
   突発的なセキュリティ対処やノイズの仕分け作業に対して、評価シート上で明確にプラス評価となる枠組みを用意する。

彼らのリソースとメンタルへのリスペクトを欠いたDXやAI導入は、確実に組織を内側から崩壊（離職の嵐）へと導きます。私の経験上、こうなった組織からは、市場価値の高い優秀な人から順番に、音を立てて辞めていきます。

まとめ

道具（AI）が進歩して大量の課題を見つけてこようとも、それを最後に精査し、美しく堅牢なコードに修正するのは「血の通った人間のエンジニア」です。

巨大テック企業が握るルールやポジショントーク、ツールの「すごいでしょアピール」に振り回されて現場を消耗させるのは、スマートな経営とは言えません。

これからのAI時代、真に勝てる組織とは、「AIを導入した組織」ではなく、「AIのノイズから自社の優秀なエンジニアを適切に守り、コア開発に集中させられる組織」ではないでしょうか。

---

著者プロフィール

山田 健太郎 / プライベートAIラボラトリー
宮城県仙台市出身。大学卒業後、ヤフー株式会社（Yahoo! JAPAN）に入社し、大規模システムの開発・運用に従事。独立後、巨大テック企業の検閲や情報流出、思惑から完全に遮断されたローカル環境で動く「完全隔離型プライベートAI（知能の要塞）」を富裕層や投資家、経営者向けに提供中。
https://kentyama.github.io/