2026年3月に開示された新規CVE(共通脆弱性識別子)のうち、少なくとも35件がAI生成コードに直接起因すると特定されました。Infosecurity Magazineが報告したこのデータは、AIコーディングツールの急速な普及がセキュリティリスクの新たな温床になりつつあることを示しており、業界に警鐘を鳴らしています。
AIコーディングツールが生成するコードの問題点は、従来のバグとは性質が異なる点にあります。AIが書いたコードは構文エラーが少なく一見正しく見えますが、認証の欠如、入力検証の不備、競合状態(レースコンディション)といった論理的な脆弱性を含む場合があります。こうしたコードは自動テストや浅いコードレビューをすり抜けやすく、本番環境にそのまま流入するリスクが高いとされています。
r/programmingでは「コードレビューの重要性が再認識された。AIツールは生産性を上げるが責任まで代替しない」という議論が長く続きました。Hacker Newsでも「AIが書いたコードを人間がレビューしないままマージするチームは今すぐセキュリティ研修を受けるべき」という厳しいコメントが多くの支持を集めています。
X上では、セキュリティ企業アカウントが「AI生成コードの静的解析ツール需要が急増している」と市場動向と絡めて投稿し注目を集めました。実際、SAST(静的アプリケーションセキュリティテスト)ツールをAIワークフローに組み込んで自動チェックを行う動きが広がっており、AIが書いたコードをAIが検査するという構図も現れ始めています。
月35件という数字は氷山の一角にすぎない可能性があります。AI生成コードと明示されていないケースや、発見されていない脆弱性を含めれば実態はさらに大きいと考えられます。GitHubのCopilot、Cursor、Claude Codeといったツールの普及が進む中、企業のセキュリティチームにはAI生成コード固有のリスクに対応したレビュープロセスの整備が急務となっています。