AI生成コードに起因するセキュリティ脆弱性が急増しています。Georgia Tech School of Cybersecurity and Privacyの研究チーム「Systems Software & Security Lab(SSLab)」によると、2026年3月だけで35件の新規CVE(共通脆弱性識別子)が報告されました。これは1月の6件、2月の15件から大幅な増加であり、「Vibe Coding(雰囲気でコーディング)」のリスクが数字として顕在化した形です。
SSLabは2025年5月に「Vibe Security Radar」プロジェクトを開始し、約50のAIコーディングツールが生成したコードの脆弱性を追跡しています。プロジェクト創設者のHanqing Zhao氏は「誰もがAI生成コードは安全でないと言っていたが、実際に追跡している人はいなかった」と動機を語っています。3月に確認された35件の内訳は、Claude Codeが27件で最多、GitHub Copilotが4件、Devinが2件、AetherとCursorが各1件でした。
ただし、Claude Codeが突出して多い理由について、Zhao氏は「このツールは常にシグネチャを残すため」と説明しています。対照的に、GitHubのインライン提案機能などは「痕跡をまったく残さない」ため、検出が困難です。Hacker Newsでも「Claude Codeが最多なのは署名を残すから。Copilotは痕跡なしで検出困難」との指摘が話題となっています。Reddit上のr/netsecでは、実際の脆弱性数は400〜700件との推計が議論されており、検出されているのは氷山の一角に過ぎないとの見方が広がっています。
この問題はAIコーディングツールの普及に伴い、今後さらに深刻化する可能性があります。Zhao氏は企業に対して、AI生成コードのレビュー強化と、セキュリティテストの徹底を呼びかけています。X上では「Vibe Codingのリスクが顕在化した」「コードレビューの重要性を再認識すべき」との声が上がっています。