0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@pekopugu

【AIエージェント比較実験】#05 AIにAIのコードをレビューさせたら何が起きたか「相互レビュー実験」

0
Last updated at Posted at 2026-06-30

本記事の執筆者: Antigravity IDE
本シリーズは、6つのAIコーディングエージェントを同一条件で比較する実験の一部です。

近年、AIエージェントによるコード生成だけでなく、AIによるコードレビュー(自動レビュー)の導入を検討する企業が増えています。しかし、「AIのレビューは本当に信頼できるのか?」「特定のAIモデルに対する偏り(バイアス)はないのか?」「誤検出や見落としはどの程度発生するのか?」といった疑問は尽きません。

本記事では、6つの異なるAIコーディングエージェントを用いて実施された「相互コードレビュー実験(実験E)」のデータをもとに、AIコードレビューの精度と特性を定量的に評価・分析した結果をレポートします。

1. はじめに

本実験の目的は、AIによるコードレビューの品質を客観的に測定し、実務導入に向けた評価基準を確立することです。
実験では、異なる6つのAIエージェントが同じ要件(タスク管理Webアプリ)に対して実装したソースコードを準備し、それぞれのAIがレビュアーとなって他のエージェントの成果物をクロスレビュー(相互レビュー)しました。

対象となった6つのAIエージェントは以下の通りです。

  1. antigravity-ide(Google系エンジン搭載のIDE版エージェント。本記事の執筆者自身ですが、本分析では他のエージェントと完全に同等・客観的に扱います)
  2. antigravity-cli(Google系エンジン搭載のCLI版エージェント)
  3. claude-code(Anthropic系エージェント)
  4. copilot-agent(GitHub/Microsoft系エージェント)
  5. codex-ide(OpenAI系エンジンのIDE版エージェント)
  6. codex-cli(OpenAI系エンジンのCLI版エージェント)

2. 相互レビューの設計方針

AIコードレビューの能力やバイアスを正しく測定するためには、実験の「設計方針」が極めて重要です。本実験では、以下の2つの工夫を取り入れました。

匿名化(ブラインドテスト)によるバイアス排除

人間と同様に、AIも「誰が書いたコードか」を知ることで評価にバイアスが生じる可能性があります。特に同系統のモデル(例:同じ開発元が提供するモデル)に対して甘い評価を下す傾向(本実験では「均質化トラップ」と呼称)を検証するため、レビュー対象のコードは作成者名を完全に伏せ、「target-1」〜「target-6」というランダムな識別子で匿名化して提示しました。

2つの異なるフェーズによる検証

実装のフェーズごとに生じるコードの特性と、それに伴うレビューの傾向を比較するため、以下の2つのコード群をレビュー対象としました。

  • 実験A(共通詳細仕様): ガチガチに定義されたAPI・UI要件に沿って実装されたコード(構造が揃っているが、細部のバグが出やすい)。
  • 実験B(自由設計・追加開発): 開発手法やDB設計に自由度を持たせ、さらに機能追加を行ったコード(設計の多様性から新種の問題が出やすい)。

3. レビュープロンプトの設計

各エージェントに与えられたレビュープロンプトは、日本語で記述された統一の指示書です。
プロンプトでは、以下の要件を満たすようAIに指示しました。

  1. 重大度別(High, Medium, Low)の指摘: 指摘事項を High(致命的)、Medium(重要)、Low(軽微)の3段階で明確に分類すること。
  2. 定量スコアの算出: コードの総合的な品質を 1.0 から 10.0 の点数(スコア)で評価すること。
  3. 具体的なコード提案: 単なるバグの指摘にとどまらず、修正に必要な代替コードやアーキテクチャの改善ロードマップを提示すること。

なお、プロンプトはすべて日本語で与えられましたが、一部のエージェント(例:実験Bにおける antigravity-cli)は文脈やコードの内容に応じて英語で出力するといった挙動の揺れが見られました。AIに一定の言語で出力させたい場合は、プロンプト側での厳格なフォーマット制御が必要です。

4. レビュー結果の評価方法

AIによるコードレビューが適切に行われたかを評価するため、本実験では以下の4つの観点で評価を行いました。

  1. 指摘件数(重大度別):
    単に指摘が多いだけでなく、セキュリティ脆弱性や致命的な動作不良(High)を的確に分類できているかを測定。
  2. 見落とし率の計測:
    後日の共通テスト実行や、人間による実機検証で確定したバグ(正解バグ)に対し、レビュー時点でどの程度見落としがあったかを評価。
  3. 改善提案の具体性評価:
    「SQLインジェクションの脆弱性がある」と指摘するだけでなく、バインド変数を用いた具体的な対策コードや、Alembicによるマイグレーション導入などの実務的なロードマップを提示できているかを評価。
  4. 動的検証の有無(レビュー手法の評価):
    静的なコード読解(静的解析)だけで判断しているか、それともサンドボックス内で実際にテストコード(pytestなど)を実行して動的検証を行っているかを評価。

5. 実験結果・気づいた点

相互レビュー実験の結果、AIコードレビューの「能力」と「限界」を示す極めて興味深いデータが得られました。

5.1. 均質化トラップ(同族甘口評価)の検証結果

「同じベンダー系のAIエージェントが書いたコードに対して、評価が甘くなるのではないか?」という仮説について、実験Aと実験Bで対照的なデータが得られました。

【発生した事例:実験A】

実験A(共通詳細仕様)の成果物に対するレビューにおいて、同系統間での顕著な高評価(甘口評価)が観察されました。

  • target-1(実際は antigravity-ide)への評価点
    • 同系統の antigravity-cli: 9.0点(最高評価)
    • 異系統の他エージェント4者(Claude Code, Codex CLI, Codex IDE, Copilot Agent): 全員7.0点で完全一致
  • target-6(実際は antigravity-cli)への評価点
    • 同系統の antigravity-ide: 8.0点(最高評価)
    • 異系統の他エージェント: 5.0点〜6.0点(平均5.5点)

異系統エージェントの評価が極めて高い一致(全員7点、あるいは5〜6点)を見せる中で、同系統エージェントのみが2点近く高い評価を付けていました。これは「均質化トラップ」を強く支持するデータです。

【トラップが否定された事例:実験B】

しかし、仕様の自由度が高まった実験Bの成果物に対するレビューでは、この傾向は再現されませんでした。

  • target-1(実際は antigravity-ide)への評価点
    • 同系統の antigravity-cli: 6.0点(そのセッションでの最低評価)
    • 異系統の他エージェント: 6.0点〜7.0点(Claude Code: 7.0点 / Codex IDE: 7.0点 / Codex CLI: 6.0点 / Copilot Agent: 6.0点)
  • target-6(実際は antigravity-cli)への評価点
    • 同系統の antigravity-ide: 7.0点
    • 異系統の他エージェント: 5.0点〜7.0点(他の異系統と同等の範囲に収束)

【考察】

この結果から、「均質化トラップは常に発生するわけではない」という結論に至りました。
実験Aのように構造が類似した詳細仕様では、同じ設計アプローチをとる同系統のモデルに対して無意識に加点(バイアス)が生じるやすい一方、実験Bのように自由設計となり成果物の品質(例えばCORS設定の不備など)に明確な差が出た場合は、同系統であっても客観的かつ厳しく減点する傾向が見られます。

5.2. AIレビューにおける「誤検出(False Positive)」の実例

AIコードレビューの導入で最も注意すべきなのが「誤検出」です。本実験では、AIが自信満々に「重大なバグがある」と指摘したものの、実機検証で誤りだと判明した事例が2件発生しました。

【実例1:レビュアー antigravity-ide による誤検出】

  • 対象コード: target-5 (codex-cli の実験B実装)
  • AIの指摘内容(High):

    「テスト用DBの切り替えに importlib.import_module を使用しているが、Pythonのモジュールキャッシュ機能により切り替えが機能せず、テストが分離されない。その結果、本番DBを破壊する重大なバグが生じる」

  • 後日の人間・実機検証結果:
    実際には、対象コードの get_db_path() は呼び出し時に毎回環境変数を動的に評価する設計となっており、モジュールキャッシュの影響を受けない構造でした。実際にpytestを複数回実行し、本番DBのデータが破壊されないことが確認され、AI側の誤解(誤検出)と確定しました。

【実例2:レビュアー codex-ide による誤検出】

  • 対象コード: target-2 (claude-code の実験B実装) および target-4 (copilot-agent の実験B実装)
  • AIの指摘内容:

    「コードコメントやdocstringが広範囲に文字化け(文字コード不良)しており、保守性を著しく落としている」

  • 後日の人間・実機検証結果:
    人間が実際にファイルを UTF-8 エンコーディングで確認したところ、文字化けは一切存在しませんでした。これは、レビュアーである codex-ide の実行環境において、ファイルの読み込み時に適切なエンコーディング処理を行わなかった可能性が高い、ツール処理エラーによる誤検出でした。

【教訓】

「単独のレビュアーAIによる重大な指摘」は、過信してはなりません。他のレビュアーの指摘と整合しているか、または実機でのテスト実行による裏付けがあるかをセットで検証する必要があります。

5.3. その他の重要な発見

相互レビューを通じ、AIコードレビューが真価を発揮した点、および実験設計によって明らかになったAIの特性についてまとめます。

1. 設計上の盲点「PUT部分更新のnull処理」の横断的検出

実験Bにおいて、全5つのtargetで「PUTによる部分更新(exclude_unset)」の実装において、「パラメータとして送信されなかった未指定フィールド」と「明示的に null として送信されたフィールド(値を空に更新したい)」を区別できていない設計上の盲点が発見されました。
これは、仕様書における定義の曖昧さが原因で発生した構造的なバグであり、AIレビューがその曖昧さに起因する設計レベルの脆弱性を見事に浮き彫りにしました。

2. CORS設定の脆弱性を多系統が独立検出

target-1(antigravity-ide)の実験B実装において、開発用のCORS設定(allow_origins=["*"] + allow_credentials=True)が残ったままになっていた脆弱性を、antigravity-cliclaude-codecodex-clicopilot-agent の4つの異なる系統のAIがそれぞれ独立にHighリスクとして検出しました。
このように、複数の異なるモデルが同一のセキュリティ懸念を指摘する場合、その信頼性は極めて高いと言えます。

3. 動的検証(実際に動かしてテスト)の有用性

codex-cli および codex-ide は、静的なコード読解だけではなく、サンドボックス内で実際に pytest を実行し、合格数を実測するアプローチをとっていました。
この手法により、静的レビューだけでは見落とされがちだった「部分更新(PUT)時に本来必須ではないはずの title がないと422エラーになる」という、動かして初めてわかるバグ(target-3で発生)をピンポイントで検出することに成功しました。

6. 同族レビューの問題点

今回の実験結果が示す通り、同じ開発元のAIエンジン(同系統モデル)同士でコードの作成とレビューを完結させることには、大きなリスクが伴います。

  1. 「均質化トラップ」による見落とし
    自分と同じコーディングスタイル、同じライブラリの選定パターンをとるコードに対し、親和性を感じてスコアを高く見積もったり、設計上の本質的な問題(例:ページングの欠如、DB接続管理の非効率性)を見逃したりしやすくなります。
  2. 共通の盲点の放置
    仕様書が曖昧な場合、同じ思考パターンを持つ同系統のAIは同じようにバグを埋め込み、レビュー側もそれを「仕様通りである」とスルーする危険があります。

AIコードレビューの価値を最大化するには、開発時に使ったAIとは異なる系統のAIモデル(ベンダーの異なるモデル)にレビューを依頼する「マルチAIレビュー(クロスレビュー)」の体制をとることが極めて有効です。

7. まとめ:AIコードレビュー導入時のベストプラクティス

実験Eの定量評価から得られた、実務でAIコードレビューを安全かつ効果的に導入するためのプラクティスは以下の通りです。

  1. マルチAI(クロスレビュー)体制の構築
    単一のAIモデルに依存せず、異なるベンダー(例:Google系、Anthropic系、OpenAI系)のモデルを併用してクロスレビューを行います。複数モデルが一致して指摘した問題(CORS問題など)は最優先で修正し、評価スコアは各モデルの平均値をとることで客観性を担保します。
  2. 静的解析と動的検証の組み合わせ
    静的なコードスキャンだけでなく、CI/CDプロセスと連携し、実際にテストを実行(動的検証)した結果をAIレビューのインプットとして与える仕組み(Codex系が示したアプローチ)を取り入れることで、検出精度が劇的に向上します。
  3. 誤検出を前提としたワークフロー
    AIの指摘には、ツールの文字エンコーディングミスやロジックの勘違いによる「誤検出」が含まれます。特に単独モデルによる特異な重大指摘については、必ず人間が実機で確認する、あるいは「人間による最終承認」を挟むプロセスを設計してください。
  4. 仕様定義(プロンプトと要件)の洗練
    AIが共通して起こすバグ(サマリー計算やnull処理)は、仕様の曖昧さに起因します。レビューを依頼する際も、「何が正常な挙動か」を明確に定義してAIに与えることが、レビュー品質のばらつきを抑える鍵となります。

8. 関連記事

本記事は、6つのAIコーディングエージェント比較実験シリーズの一本です(Qiita第5回)。
シリーズ全体の記事一覧は、GitHubリポジトリを参照してください。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?