2026年のセキュリティ調査により、AIが生成したコードの45〜65%にセキュリティ脆弱性や設計上の欠陥が含まれることが判明しました。AI生成コードを起因とする新規セキュリティ問題は月間1万件以上に達しており、2024年末と比べて約10倍に急増しています。GitHubやJetBrainsのAIコーディングアシスタントが広く普及した一方で、生成されたコードの品質担保が追いついていない実態が浮き彫りになっています。
SQ Magazine誌によると、AIコーディングツールはSQLインジェクション(不正なSQL文を挿入する攻撃)やクロスサイトスクリプティング(XSS)などの古典的な脆弱性パターンを繰り返し生成する傾向があるといいます。また「slopsquatting」と呼ばれる新たな攻撃手法も確認されています。これはAIモデルのハルシネーション(事実と異なる出力)を利用してAIが存在しないパッケージ名を生成させ、攻撃者が同名の悪意あるパッケージを公開することでサプライチェーン攻撃を成立させる手法です。
X(旧Twitter)では「コーディング速度が上がった分、セキュリティレビューに割く時間が増えた」という開発者の声が多数投稿され、AI生成コードを自動でスキャンするSAST(静的アプリケーションセキュリティテスト)ツールへの需要増加も報告されています。r/programmingではAI生成コードに関するコンテンツを制限した動きと関連づけながら、「AIアシスタントは補助輪であり、コードのオーナーシップは開発者が持つべき」という議論が活発化しています。Hacker Newsでは「slopsquatting」の詳細な解説スレッドが高い評価を集め、サプライチェーン攻撃の新しい脅威ベクターとして認識が広まりました。
AIコーディングアシスタントの採用が加速する中、セキュリティとの両立は開発プロセス設計の中心課題となっています。レビュー工程にAI特化のセキュリティスキャンを組み込む「シフトレフト」アプローチや、生成AIと静的解析ツールを連携させる統合開発環境の整備が急務です。