0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

AIにコードを全部書かせていたら、世界中の脆弱性が「同じ場所」に集まり始めた

0
Posted at

あなたの会社でも、もうAIにコードを書かせていますか?

Claude Code、Cursor、GitHub Copilot——気づけば同じツールを使っていませんか。
そして、「同じAIが書いたコードが世界中に広がっているとしたら、セキュリティはどうなるのか」
と考えたことはありますか?

これは杞憂ではないかもしれません。


AIコーディングの現状:驚異的な普及速度

2026年、AIコーディングはもはや「便利な補助ツール」ではなくなっています。

  • ChainguardのLorenc氏:コードの100%をClaude Code経由で生成(2025年時点では60%)
  • Wordsmith AI CTO:ほぼ全コードをAIが生成、人間が直接書くことはほぼゼロ
  • Menlo Venturesレポート:2025年のAI支出73億ドルのうち、55%(40億ドル)がコーディング関連

「以前は数週間かかった作業が数時間でできるようになった」という声は珍しくなく、
スタートアップの開発力は飛躍的に上がっています。

しかし、ここに見落とされがちなリスクが潜んでいます。


問題の本質:コードを書くAIサービスは、実は少ない

現在、実用レベルで使われているAIコーディングサービスは、驚くほど少数です。

主要AIコーディングサービス(2026年時点)

┌─────────────────────────────────────────────┐
│ Claude Code     (Anthropic)                │
│ Cursor          (SpaceX傘下・約600億ドル)  │
│ GitHub Copilot  (Microsoft / OpenAI)       │
│ Gemini Code     (Google)                   │
│ Replit AI       (評価額90億ドル)           │
└─────────────────────────────────────────────┘
         ↑ これだけで世界のAI生成コードの大半を占める

Menlo VenturesのレポートではAIコーディング分野に巨額投資が集中しており、
SpaceXがCursorを約600億ドルで買収するなど市場は急拡大しています。

しかしプレイヤーの数は増えていません
むしろ、資金力のある少数サービスへの集約が進んでいます。


均一化の連鎖:同じAIが世界中で「同じコード」を書く

少数のサービスが世界のコードの大部分を書くとき、何が起きるのか?

【従来の開発】
エンジニアA → 独自のロジック・命名規則・実装パターン
エンジニアB → 独自のロジック・命名規則・実装パターン
エンジニアC → 独自のロジック・命名規則・実装パターン
          ↓
  多様性があるため脆弱性の出方もバラバラ

【AI生成コードの現実】
エンジニアA → Claude Code → 同じモデルが生成
エンジニアB → Claude Code → 同じモデルが生成
エンジニアC → Cursor(Claude系)→ 同じモデルが生成
          ↓
  コードパターンが均一化 → 脆弱性も同じ場所に集中

同じLLMが同じ学習データから同じパターンを出力し続けるとき、
「コードの多様性」は失われていきます。


セキュリティへの影響:脆弱性の「量産」が始まっている

コードの均一化は、セキュリティの観点では特に深刻です。

従来の脆弱性はバラバラに存在していた

人間が書いたコードは、エンジニアの経験・知識・クセによって実装が異なります。
あるAPIでSQLインジェクションが見つかっても、他の会社のAPIは別の実装なので影響は限定的でした。

AIが書くコードは「同じ癖」を持つ

AIは学習データのパターンを再現します。
もしAIが「認証処理をこう書く傾向がある」というパターンを持っていれば、
世界中のAI生成コードが同じ認証処理の書き方をする可能性があります。

リスク 内容
脆弱性の集中 同一AIが生成した認証・暗号化・入力検証が世界に拡散
攻撃の効率化 攻撃者がAI生成コードのパターンを学習すれば一括攻撃が可能に
パッチ対応の困難さ 同一パターンが広範囲に存在するため、修正の特定が難しい
「動いているから安全」の錯覚 AIが生成したコードへの過信がレビュー省略を招く

未来学者のJason Snyder氏も指摘しています。

「2026年のトレンドは、専門知識のない人がAIで乱雑に作った製品が大量に生まれ、脆弱で保守不能なものになる波だ」


現場でもすでに兆候あり:「クリーンアップ税」の正体

Menlo Venturesのレポートは、AI生成コードの問題を 「クリーンアップ税」 と呼んでいます。

コード生成のスピード向上分が、修正・品質保証にかかる時間で相殺される

これはセキュリティにも当てはまります。

  • バイブコーディング(vibe coding)で高速に量産したコードは、動作するが内部は粗雑
  • レビューなしで本番投入されたAI生成コードが積み上がる
  • あとから「どこに何のAI生成コードがあるか」すら把握できなくなる

Blueprint社のFreed氏は語っています。

試すコストは劇的に下がったが、人間の判断力がこれまで以上に重要になった。
作れるからといって作るべきとは限らない」


では、何をすべきか

AIコーディングを否定する必要はありません。
ただし、均一化リスクを前提にした対策が必要です。

1. AI生成コードにセキュリティレビューを必須にする

「動く」と「安全」は別物です。
特に認証・暗号化・入力検証・外部API接続のコードは、AI生成かどうかに関わらず人間がレビューする体制を作りましょう。

2. 使うAIサービスを意識的に分散させる

全チームが同一サービスを使うと均一化が加速します。
用途によってClaude Code / Copilot / Gemini Codeを使い分けることも、多様性確保の手段の一つです。

3. AIが書いたコードの「出所」を管理する

将来的にAI生成コードに脆弱性が発見された際、
「どのサービスのどのバージョンが生成したコードか」を追跡できるようにしておくことが重要です。
(AI生成コードのSBOM管理という概念が今後必要になるかもしれません)

4. エンジニアの「読む力」を維持する

ChainguardのLorenc氏は言います。

「AIが全員に丸鋸を渡したようなものだ」

書く力をAIに委ねても、読む力・判断する力は手放してはいけません。
AIが書いたコードを批判的に読める人材こそが、これからのセキュリティの要になります。


まとめ

AIコーディングの普及は開発生産性を飛躍的に高めました。
しかしその恩恵の裏に、「コードの均一化」という新しいリスクが生まれています。

少数のAIサービスが世界中のコードを書く時代、
脆弱性も同じ場所に、同じパターンで、大量に生まれる可能性があります。

これは個別の開発者やチームの問題ではなく、
インフラとしてのAIコーディングが抱える構造的な課題です。

「AIが書いたから大丈夫」ではなく、
「AIが書いたからこそ確認が必要」という発想への転換が、
これからのエンジニアに求められる姿勢ではないでしょうか。


参考情報

  • Business Insider「AI Is Writing Almost All Startup Code. That's Creating a New Problem」
  • Menlo Ventures「The State of AI in the Enterprise」
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?