IBM・Trend Microなどが公表した2026年AIセキュリティ調査によると、2025年に報告されたAI関連の脆弱性は全CVE(共通脆弱性識別子)の4.42%と過去最高を記録しました。この急増の主因として、AI生成コードの急拡大が挙げられており、2026年中には全CVEの5%を超える水準に達するとの見通しが示されています。
CVEは発見・登録されたソフトウェアの脆弱性を体系的に管理するデータベースで、4.42%という割合は一見小さく見えますが、ここ数年で急速に上昇しています。背景にあるのは、GitHub Copilot・Cursor・Windsurfなどのコーディングアシスタントの普及により、開発者一人当たりのコード生成量が飛躍的に増加したことです。AIが書いたコードの45%にセキュリティ欠陥が含まれるという別の調査(id 12参照)と合わせて考えると、コードの「量」と「脆弱性の密度」が同時に高まっている構造が見えてきます。Trend Microの報告書では、AI関連脆弱性が増加した要因として、AIフレームワーク自体の脆弱性、AI生成コードの欠陥、AIシステムに特有のプロンプトインジェクション問題の3層が指摘されています。
X上では「AIが作り出す脆弱性はAIで防御するしかない」という議論がセキュリティ専門家の間で広がりました。Redditでは、AI生成コードを無批判に利用している開発者への警鐘として広く共有され、コードレビュー文化の再評価を求める声が高まっています。Hacker NewsではCVE数の推移グラフへの言及が多く、AIとセキュリティの「軍拡競争」——AIによる攻撃の高速化とAIによる防御の高速化が相互に加速し合う構造——についての俯瞰的な議論が展開されました。
AI生成コードが増え続ける限り、この傾向は当面続くと見られます。セキュリティの専門家は、コードの生成速度ではなく「脆弱性の検出・修正サイクルの速度」がより重要な指標になると指摘しています。開発組織にとっては、AIコーディングアシスタントの導入と同時に、SCA(ソフトウェア構成分析)やSAST(静的解析)ツールを自動化パイプラインに組み込むことが、2026年以降の標準的なセキュリティ実践となるでしょう。