CursorやClaude CodeなどのAIコーディングツールを導入する企業の間で、生成コードの急増にレビュー体制が追いつかない「コード洪水」が新たな課題として浮上している。ローカル環境での利用拡大や外部からのコード貢献の増加も重なり、セキュリティと運用管理の負荷が一段と高まっている。

背景にあるのは、AIがコードを生み出す速度と、人手による確認作業の差だ。レビュー工程が処理能力を超え、「コード過負荷」や「コード洪水」とも呼ばれる状況が起きている。

The New York Timesの最近の報道によると、AIが書くコードの量が大幅に増えていることに加え、AIコーディングツールがAmazonやMicrosoftなどのセキュリティ管理下にあるWebベース環境よりも、ノートPC上で利用されるケースが多いことも、新たな管理上のリスクとして指摘されている。

シリコンバレーのVCファーム、Costanoa Venturesでアドバイザーを務めるジョー・サリバン氏は、「より多くのエンジニアが、会社のコード全体をノートPCにダウンロードすることを意味する。ノートPCを紛失すれば、セキュリティリスクにつながる」と指摘した。その上で、「半年前には誰も想定していなかったような新たな危険だ」と述べた。

外部からのコード貢献を受け入れている企業では、AIの影響がさらに大きい。デジタルホワイトボードのスタートアップTldrawは、自社技術をライセンス提供する一方でコードも公開し、外部開発者が開発に参加できる体制を取ってきた。

こうした中、Tldraw創業者のスティーブ・ルイーズ氏は昨年秋、通常よりも多くの開発者が同社のコードベースに貢献しようとしていることに気付いた。ただ、新規貢献者の動きには不自然な点が目立ったという。

中には、作業の大半を終えながら必要書類への署名を目前に離脱したり、明確なガイドラインを無視したり、スパムのように更新を大量投稿したりするケースもあった。

ルイーズ氏は、こうした投稿の一部が人間ではなくAIボットによるものだと判断し、今年1月にTldrawへの外部アクセスを遮断した。The New York Timesに対し同氏は、「AIボットが氾濫すれば、自分たちのチームやコミュニティ、プロジェクトの評判を損ないかねなかった」と説明。「オープンソースプロジェクトやGitHubのようなコーディングプラットフォームは、この新しい現実にどう対応するかを模索している」と語った。

こうした問題に対応するため、業界でも対策が動き始めている。

AIコーディングを活用する企業は、AIが生成する大量のコードを管理できる経験豊富な専門人材の確保を急いでいる。一方、AIコーディングツールを手がけるテック企業は、レビュー作業を支援するAI技術の開発を加速させている。

The New York Timesによると、AIが書くコードの急増を受け、コードのエラー検出やソフトウェアに潜むリスク管理を担うアプリケーションセキュリティエンジニアとして、シニア級エンジニアの採用を増やす動きが出ている。

ただ、企業が求める経験を備えた人材の確保は容易ではない。サリバン氏は、「米国企業の需要でさえ満たしにくいほど、アプリケーションセキュリティエンジニアは世界的に不足している」と述べた。

テック業界では、コード洪水の問題をAIで解決しようとする動きも広がっている。

AnthropicとOpenAIは最近、AIベースのソフトウェアレビューエージェントを投入した。AIコーディングツールのスタートアップCursorは、コードレビューボットを開発するGraphiteを買収した。Cursorはこれまでも自社のBugbotを通じてAIベースのコードレビュー機能を提供してきたが、今回の買収によりGraphiteのスタックド・プルリクエスト機能を取り込んだ。開発者がコードレビューの承認を待たず、複数の変更を同時並行で処理しやすくする狙いがある。