AIがメンテナの脆弱性開示を圧迫する
AI生成の低品質なセキュリティレポートが急増し、オープンソースのメンテナが検証作業に追われている。Directusのデータによると、2026年上半期のレポート数は従来の6倍に増加したが、有効な脆弱性の割合はわずか5%に低下。業界全体でのプロセス改善を訴える。
AI技術の普及により、オープンソースプロジェクトのセキュリティ脆弱性報告に新たな課題が生じている。DirectusのCTO兼共同創設者であるRijk van Zanten氏は、AIが生成する低品質なレポートの急増がメンテナに過大な負担をかけていると指摘する。
Directusには2026年上半期だけで230件のセキュリティレポートが寄せられ、これは従来の年間平均(30~40件)の約6倍に相当する。しかし、そのうち実際に脆弱性として確認され公開されたのはわずか11件(約5%)だった。2023年から2025年にかけての有効率は35~51%だったため、質の低下は顕著である。
van Zanten氏は、AIによって一見もっともらしいレポートを短時間で生成できるようになった一方、レポートの検証作業は変わらず人手に頼らざるを得ないと説明する。たとえば、同じ脆弱性が異なる表現で何度も報告されるケースが2026年以降増加し、約40%が重複として閉じられた。2022年から2026年2月までは重複は一件もなかったため、これは劇的な変化である。
ただし、同氏はAIを全面的に否定しているわけではない。MozillaはAnthropicと協力してFirefoxの22件のセキュリティバグを修正し、さらにClaude Mythos Previewを用いて271件の修正を実現した。Google Project Zeroの「Big Sleep」プロジェクトは、SQLiteに潜む脆弱性を発見し、リリース前に修正した。これらの事例は、AIがセキュリティ研究に有効であることを示している。
問題は、報告プロセスがAIの台頭に対応できていないことだ。従来は研究者が検証と再現手順を整えた上で報告していたが、AIは未完成の作業をメンテナに丸投げする。van Zanten氏は、報告には証拠を添付すること、GitHubなどのプラットフォームで重複提出を防止すること、メンテナが重要な発見に時間を割けるよう業界全体で支援することを求めている。
この傾向はDirectusだけのものではない。curlプロジェクトのDaniel Stenberg氏も約1年前に同様の警鐘を鳴らしており、AI生成レポートの約95%が低品質であると報告し、「千の雑音による死」と表現した。
セキュリティ報告の質を高めるには、研究者とメンテナの協力関係を再構築する必要がある。AIの恩恵を最大限に活かすためには、報告の検証と修正を迅速に行える仕組みづくりが急務である。