AIが悪いプロダクト判断を完成したソフトウェアに見せかける

現在のAIツールを使えば、ログインページ、ダッシュボード、設定画面、さらには決済フローまで数分で生成できる。見た目が一貫しているため、重要な判断はすでに下されたと人々は思い込むが、実際にはそうではない。多くの場合、製品判断が空洞化した洗練された殻に過ぎず、データ分離、エラー復旧、アクセス制御、基本的な運用境界が欠けている。

「バイブコーディング」はプロトタイプ以外では危険だ。現在の生成ツールは、チームが所有権、プライバシールール、障害動作、サポート境界を定義するよりも速くソフトウェア的なものを作り出す。モデルが書き、作成者が理解できないコードは、初日からレガシーコードとなる。プログラミングは単なる構文ではなく、理論構築であり、各部分の連携、前提条件、境界を内部モデルとして持つ必要がある。生成モデルはコードを書けるが、理解は生成しない。そのためUIは完全に見えるが、システムは概念的に空っぽだ。

AIはデフォルトの振る舞いを喜んで選び、ポリシートレードオフを無視し、デモでは完璧だが実際のシステムのように振る舞うよう求めると崩壊するものを出力する。以前も高忠実度モックアップで非技術者が騙される問題はあったが、現在のプロトタイプはライブデータベースに接続され公開ドメインにデプロイされることが多い。表面の振る舞いは「リアルに見える」だけでなく「危険なほどリアルだ」と言う。

セキュリティへの影響は理論上のものではない。監査ではデプロイプラットフォーム上に38万件の公開アセットが見つかり、そのうち5000件に財務文書や医療文書などの機密データが含まれていた。脆弱性CVE-2025-48757は、Lovableが生成したアプリケーションにおけるデータベース行レベルセキュリティポリシーの欠如を報告し、170以上のアプリに影響を与え、認証されていないActorによるデータベーステーブルの読み書きを許した。これはコアポリシー判断が存在する前にシステムが「完成」したために起こる。

AIはインターフェースを構築できても、誰がどのレコードを所有するか、顧客データを隔離するか、何をブロックしログするかを決定しない。これらはコード補完タスクではなく、人間が強制的に存在させなければならないプロダクト判断である。WIREDはこのリスクをオープンソース依存関係の問題に例えるが、責任の線が不明確だと指摘する。手書きコードは通常、生成コードよりも前提を明示的にするため、正式なレビューなしでは見逃しが発覚するまで検出されない。

これはセキュリティ問題だけでなく納品問題でもある。DORAの生成AIレポートは、AI導入が個人の生産性を向上させる一方で、25%のAI導入率上昇がソフトウェア納品スループット1.5%減、納品安定性7.2%減と関連することを示している。コード生成が速くなっても良いソフトウェア納品にはならず、組織が考える前にコードが増えるだけだ。ユーザー中心の組織は40%パフォーマンスが高く、これがなければAIはより速い機能工場を生むだけである。

有効な対応は生成された作業に対する規律である。DORAのプラットフォームエンジニアリングガイダンスは、セキュリティチェック、テストプロトコル、デプロイメントガードレールを自動的に強制する開発者プラットフォームを提案する。AI支援開発は不可避だが、その速度にはより厳格な検証が必要である。生成されたインターフェースはプロダクト会話を始めるものであり、終わらせるものであってはならない。