AIにソフトウェアの依存関係の更新判断を委ねることには大きなリスクがある――。そんな調査結果を、DevSecOps企業のSonatypeがまとめた。OpenAIのGPT-5では、依存関係更新の提案の約28％が実在しないバージョンや更新経路を示す「幻覚」だったという。

米Dark Readingが26日（米国時間）に報じた。依存関係とは、ソフトウェアの動作に必要な外部ライブラリやパッケージを指す。

Sonatypeは2025年6〜8月、Maven Central、npm、PyPI、NuGetの4つのパッケージリポジトリで作成された依存関係更新の提案3万6870件を分析した。あわせて、Anthropic、OpenAI、GoogleのAIモデル7種が出力した計25万8000件の提案も調べた。

同社が今年2月に公表した第1弾調査では、OpenAIのGPT-5が示した依存関係更新の提案のうち、約28％が実在しないバージョンや更新パスを含む幻覚だったことが確認された。

今週公開した第2弾調査では、推論能力を強化した最新モデルを対象に分析を進めた。対象には、GPT-5.2、AnthropicのClaude Sonnet 3.7・4.5、Claude Opus 4.6、GoogleのGemini 2.5 Pro・3 Proが含まれる。従来モデルより改善はみられたものの、幻覚や誤った提案はなお相当数残ったとしている。

Sonatypeは、こうした誤りがAI利用コストや開発者の工数の無駄につながるだけでなく、脆弱性の放置や、本番環境に反映される前のコードに技術的負債を持ち込む要因にもなると指摘した。

問題の本質は、モデルの推論能力そのものではなく、リアルタイムデータの不足にあるという。Sonatypeは「AIモデルには、安全な更新判断に必要なリアルタイムの依存関係、脆弱性、互換性、企業ポリシーに関する情報がない」と説明した。

共同創業者兼最高技術責任者（CTO）のブライアン・フォックス氏は、「最も危険なのは、明らかに間違った答えを返す場合ではない。もっともらしく見えながらリスクを抱え、より適切な更新経路を見落とすような答えを返す場合だ」と述べた。