複数のセキュリティ研究機関の調査によると、AIコーディングアシスタントが生成したコードには、人間が書いたコードと比べてCVSS(共通脆弱性評価システム)スコア7.0以上の高リスク脆弱性が2.5倍多く含まれており、設計レベルのセキュリティ欠陥は153%増加していることが明らかになりました。さらに、AI生成コードの45%が既知の脆弱性パターンを新たに導入しているという衝撃的なデータも示されています。
AIコーディングアシスタント(GitHub Copilot・Cursor・Windsurf等)は開発速度を大幅に向上させる一方、セキュリティ上の問題を起こしやすいコードパターンを繰り返す傾向があることは以前から指摘されていました。今回の調査はその懸念を数値で裏付けるものです。特に深刻なのが「設計レベルのセキュリティ欠陥」で、これは関数や機能単体ではなくシステムアーキテクチャの段階に埋め込まれる問題であり、静的解析ツールでは発見が難しい性質を持ちます。SQLインジェクション・XSS(クロスサイトスクリプティング)・安全でない認証処理といった定番の脆弱性が、AIの「学習済みパターン」として再生産されているケースが多いとされています。
X(旧Twitter)では企業のcode review(コードレビュー)強化の必要性が具体的な数字で示されたとして、エンジニアリングマネージャーを中心に広く拡散されました。Redditのr/netsecでは、AI生成コードの自動セキュリティテスト手法と開発チーム全体へのセキュリティ教育の重要性について活発な議論が続いています。Hacker Newsでは「AI時代のコードセキュリティのパラダイム転換」というフレームで、自動化への過信を戒める本質的な声が上がっています。
AIが書いたコードを「人間より正確」と過信することへの警鐘として、この調査結果は業界全体に重要な示唆を与えています。AIコーディングツールの導入拡大と並行して、セキュリティレビュープロセスの見直しや自動脆弱性スキャンの強化が急務となっています。