Black Duck(旧Synopsys傘下のセキュリティ企業)が2月25日に公開した「2026年版OSSRA(オープンソースセキュリティ・リスク分析)報告書」によると、オープンソースソフトウェアのコードベースあたり平均脆弱性件数が前年比107%増(581件)に達したことがわかりました。17業種にまたがる947件の商用コードベースを分析した結果で、AIコードアシスタントの急速な普及が既存の脆弱なコードパターンを複製・拡散させているとしています。
報告書によると、コードベースの87%にリスクが存在し、65%がすでに何らかの攻撃を受けていることも明らかになっています。ファイル数はYoY(前年比)74%増、オープンソースコンポーネント数は30%増と、AIによるコード生成がコードベースの量的な膨張を後押ししています。セキュリティ面だけでなくライセンス問題も深刻で、調査対象コードベースの68%にオープンソースライセンス違反が含まれていました(前年比:56%)。AIモデルがGPLやAGPLなどのコピーレフトライセンスに抵触するコードを無意識に再現するリスクが顕在化しています。さらに、自社が利用するAI生成コードに対してIP・ライセンス・セキュリティ・品質の包括的な評価を行っている組織はわずか24%にとどまりました。
X(旧Twitter)では「AIが書いたコードのセキュリティレビューが追いついていない」という警告が開発者コミュニティで広く共有されました。Redditのr/netsecでは「Copilot・Cursorで書かれたコードが脆弱なパターンを再現している実例」が多数報告されており、「自社のAI生成コードを今すぐ監査すべき」という実務的な声も上がっています。Hacker Newsでは「AIコード生成の普及スピードに対してセキュリティ教育が根本的に追いついていない」という本質的な問題提起が多くの支持を集めました。
AIコードアシスタントは開発生産性を大幅に向上させる一方で、「AIが既存の脆弱なコードから学習し、同じパターンを新たなコードに埋め込む」という構造的なリスクをはらんでいます。今後はSAST(静的アプリケーションセキュリティテスト)やSBOM(ソフトウェア部品表)の自動化をCI/CDパイプラインに組み込む動きが加速すると見られており、セキュリティツールベンダーにとっては大きなビジネスチャンスでもあります。