電卓の規律 — AI支援による開示の幻覚

2026年5月26日、研究者Stuart Paul Thomasは、「電卓の規律 — AI支援による開示の幻覚」と題するワーキングペーパーを発表しました。この論文は、AI支援によるコードレビューがもたらす副作用を深く掘り下げています。AIはソースコードレビューを安価にし、エンジニアリングの歴史におけるあらゆる生産性向上ツールと同様に、誤りも安価にしました。オープンソースセキュリティコミュニティは過去18ヶ月間、その結果を目の当たりにしてきました。バグ報奨金の受付キューは、もっともらしいが架空の脆弱性報告で溢れかえり、最も顕著な例としてcurlプロジェクトが2026年1月にHackerOneプログラムを閉鎖しました。これまでの議論のほとんどは単なる不満に過ぎませんでした。この論文は、その欠けていた部分を補うものです。すなわち、故障モードの分類法、最も機械的なエラーを捕捉する送信前フィルター、そして研究者自身が「スロップ」を提出した正直なケーススタディです。

論文は4つの分類を提案します：バグ形状の捏造（存在しない脆弱性タイプを報告する）、証拠の捏造（コードパスやテストケースを偽造する）、深刻度の誇張（無害な問題を深刻な脆弱性として報告する）、些細な問題の重大視（微細で脆弱性でない問題を重大として提出する）。さらに、2つの実際の開示撤回事例（OpenBSDプロジェクトに関連し、[email protected]および[email protected]に提出されたもの）と、送信前に発見された1件のニアミス事例が紹介されています。これらの事例に基づき、著者は送信前チェックツールhallucination_check.py（約35KB）を開発しました。このツールは4つの検証器を含み、最も一般的なAI生成の虚偽報告を自動的に捕捉することを目的としています。

論文の中心的な考え方は、AIは「電卓」のようなものであり、注意深いユーザーをより速くする一方で、不注意なユーザーをより早く誤らせるというものです。解決策は電卓を否定することではなく、「電卓の規律」を適用すること、すなわちAIの出力を厳密に検証することです。著者は、この論文がLLM支援（Claude, Anthropic）により作成されたこと（神経多様性の著者に対する2010年平等法第20条に基づく合理的配慮として）を明記していますが、出版前にすべての引用ファイルパス、コミットハッシュ、人名、URLを独立して検証したことを強調しています。

論文はCC BY 4.0で公開され、ツールはBSD 2-Clauseライセンスで個別に配布されています。また、Daniel StenbergによるcurlプロジェクトへのAIスロップ影響に関する一連のブログ記事、BleepingComputer、Help Net Security、The New Stack、The Registerなどのメディア報道を含む複数の参考文献が挙げられています。Thomasはこの論文を通じて、オープンソースセキュリティコミュニティが単なる不満から脱却し、分類、ツール、規律を通じてAI支援による開示の課題に対処することを目指しています。