写真=Shutterstock

AIエージェントが生成した脆弱性報告がオープンソースプロジェクトに大量流入し、メンテナーの負担が急速に増している。報告の多くは根拠が乏しく、追加の照会にも十分に応じないため、確認作業の負担が増している。

Axiosの報道によると、こうした報告の大半は具体的な裏付けを欠き、メンテナーによる追質問にも答えられない水準だという。

状況に拍車をかけているのが、オープンソースのAIエージェント「OpenClaw」の登場だ。OpenClawはオープンソースのコードを自動で分析し、バグ報告をメンテナーに自動提出できる。

オープンソースセキュリティ財団の最高技術責任者(CTO)、クリストファー・ロビンソン氏は、「報告者がメンテナーからの追質問に答えられないケースが増えている」と指摘。「AIが問題を見つけているか、AIエージェントが一連のプロセス全体を自動化している兆候だ」と述べた。

Axiosによれば、著名なオープンソースプロジェクトに寄せられるバグ報告は、以前は週平均2〜3件程度だった。知名度の低いプロジェクトでは月1件ほどにとどまっていたという。

だが足元では状況が一変している。数百件単位の報告が一度に届くプロジェクトもある。

ロビンソン氏は、「メンテナーは内容の精査に2〜8時間を費やさなければならないが、その作業は無報酬だ」と述べ、負担の重さを訴えた。

こうした事態を受け、一部のメンテナーはバグ報奨金制度そのものを打ち切った。AI生成の質の低い報告を送る投稿者をブロックする動きも出ている。

著名なオープンソースプロジェクト「curl」のメンテナー、ダニエル・ステンバーグ氏も、AI生成の大量報告への対応に追われ、バグ報奨金制度を終了した。2025年に提出された報告のうち、有効だったのは5%未満だった。

キーワード

#AI #セキュリティ #オープンソース #脆弱性 #バグ報奨金制度
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.