2026年に実施されたセキュリティ監査により、AIが生成したコードの約45%が既知のセキュリティ欠陥を含んでいることが判明しました。AIコーディングツールの普及を背景に、月間1万件以上の新たなセキュリティ脆弱性が確認されており、これは2024年末比で約10倍に相当します。
SQ Magazineの分析によると、Veracodeが100以上の大規模言語モデルに対して80のコーディングタスクを実施した結果、安全なコードを生成できたのは全体の55%にとどまりました。特にXSS(クロスサイトスクリプティング)への対策は86%が不十分で、ログインジェクションは88%のサンプルで問題が検出されています。SQLインジェクションへの対応は相対的に高い80%の合格率を示しましたが、データベース駆動アプリケーションにとって残りの20%は依然として重大なリスクです。プログラミング言語別ではJavaが最も脆弱で、72%の失敗率が記録されています。また、AIワークフロー内の機密データ取り扱いポリシーを持つ組織は50%にとどまり、2026年のAIシステムセキュリティ監査では73%がプロンプトインジェクション脆弱性にさらされていることも明らかになっています。
Hacker Newsでは「AIコーディングツールを使えば使うほどセキュリティ負債が増えるというパラドックス」への危機感が共有されており、静的解析ツールとの組み合わせを標準化すべきとの声が多くあります。Redditでは「Snapが65%のコードをAIで生成し1000人を削減した」というニュースと関連づけて、AIによる雇用代替とコード品質低下の二重リスクを論じる投稿が注目を集めています。
AIコーディングツールが開発者の生産性を高める一方で、セキュリティ品質の担保という課題は未解決のまま残っています。業界全体として、AI生成コードを人間によるセキュリティレビューや自動スキャンと組み合わせる仕組みの整備が急務です。特に金融・医療・インフラなどセキュリティリスクの高い分野でのAIコーディング活用には慎重な体制が必要です。