調査で70%の開発者がAIコードに脆弱性が多いと回答、それでも30%が本番環境にリリース — Checkmarx

Checkmarxが実施した、世界中の開発者、CISO、アプリケーションセキュリティマネージャー2,350人を対象とした年次AppSec調査により、厳しい実態が明らかになった。回答者の70%がAI生成コードには脆弱性が有意に多いと考える一方、30%は脆弱なコードを本番環境に意図的に出荷している。2026年の調査では、2023年以降の同様の報告を引き継ぎ、今年はサンプルが54%拡大している。
主な調査結果
- AI生成コードの割合はわずかに減少 — 本番コードの54%から49%に減少したが、依然として高い。
- 70%がAI生成コードは人間が書いたコードよりも脆弱性が有意に多いと報告。
- 30%が脆弱なAIコードを本番環境に意図的に出荷。その理由として、迅速なデプロイのプレッシャー、修正の難しさ、他の対策への依存を挙げている。
- 93%の組織が脆弱なアプリケーションにより1件以上のセキュリティ侵害を経験(前年の98%から減少)。
- 本番コードの59%をオープンソースが占め、npm、PyPIの悪意あるパッケージによるリスクが増加。
- コードの81〜100%をAIが生成している組織では、1〜20%の組織と比較して脆弱なコードの出荷率が3.4倍。
Checkmarxの研究者によると、LLMはトレーニングデータに古いプラクティスが含まれているため、最新の言語やコンパイラのセキュリティ機能を十分に活用しない傾向がある。セントラルフロリダ大学とビルゼイト大学による別の研究では、Cコードで最も多くのAI生成脆弱性が確認され、Pythonが最も少なかった。
レポートからの引用:「リスクは正常化されている」。著者は、AIコードの量が脆弱コードの展開や侵害頻度に直接相関すると警告している。
📖 出典全文: HN AI Agents
👀 See Also

db-wal-recoveryタスクにおけるTB2ベンチマーキング問題の分析
Redditの分析によると、Terminal Bench 2.0のdb-wal-recoveryタスクには問題があり、エージェントがSQLiteデータベースを開くことで証拠を誤って破壊してしまう可能性があることが明らかになりました。また、プロンプトインジェクションがリーダーボードの結果にどのように影響するかも示されています。

AI面接プラットフォームの検証:採用選考におけるCodeSignal、Humanly、Eightfoldの活用
The Vergeは、CodeSignal、Humanly、Eightfoldを含む3つのAI面接プラットフォームを採用選考用にテストしました。AIアバターは一対一のビデオ面接を行い、回答を分析し、偏見を減らすと主張していますが、トレーニングデータの制限により、偏見のないシステムは依然として不可能です。

キミK2.5:AI自動化の新境地を切り開く
Kimi k2.5はAI自動化の新たな基準を確立し、先進的な機能を誇り、技術コミュニティで注目を集めています。それがどのように業界を再構築しているかをご覧ください。
Google DeepMindのAIポインター:ジェミニとの相互作用のためのマウスの再考
Google DeepMind、コンテキストを理解するGeminiを搭載したAIマウスポインタを発表。画像を指して「道順を教えて」などのコマンドが可能で、ChromeやGooglebookに統合。